Click Here to Kill Everybody · ten der Ukraine zum Ziel hatte. Dort kam es zwar ebenfalls zu einem Strom-ausfall, der Angriff war aber eher manueller Natur. Die Angreifer, vermut-lich

5

Inhalt

Über den Autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Einleitung: Alles wird zum Computer . . . . . . . . . . . . . . . . . . . . . 11

Dank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

TEIL I Die Schwachstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

1 Computer sind immer noch schwierig zu sichern . . . . . . . . 35Die meiste Software ist schlecht programmiert und unsicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Sicherheit spielte bei der Entwicklung des Internetskeine Rolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Erweiterbarkeit heißt, alles kann gegen uns verwendetwerden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Aufgrund ihrer Komplexität sind computerisierte Systeme einfacher anzugreifen als zu schützen . . . . . . . . . . 44Interkonnektivität schafft neue Sicherheitslücken . . . . . . . . 46Computer sind auf besondere Weise gefährdet . . . . . . . . . . 48Die Angriffe werden immer besser, schnellerund einfacher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

2 Patchen ist keine Lösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Installation der Patches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Schreiben und Veröffentlichen der Patches . . . . . . . . . . . . . 60Offenlegen der Sicherheitslücken . . . . . . . . . . . . . . . . . . . . . 63Aufspüren der Sicherheitslücken . . . . . . . . . . . . . . . . . . . . . . 64

3 Internetnutzer zu identifizieren, wird immer schwieriger 67Die Authentifizierung wird schwieriger, das Stehlen von Zugangsdaten einfacher . . . . . . . . . . . . . . . 67Die Attribution wird sowohl schwieriger als auch einfacher. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

© des Titels »Click Here to Kill Everybody« (ISBN 9783958459472) 2019 by mitp Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/947

Inhalt

6

4 Alle begünstigen Unsicherheit . . . . . . . . . . . . . . . . . . . . . . . 81Das Internet wird immer noch durch den Überwachungskapitalismus gesteuert . . . . . . . . . . . . . . . . . 82Im nächsten Schritt werden Unternehmen Kunden und User kontrollieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Auch Staaten nutzen das Internet zur Überwachung und Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Cyberkrieg wird zur Normalität. . . . . . . . . . . . . . . . . . . . . . . 95Kriminelle profitieren von Unsicherheit. . . . . . . . . . . . . . . . 103

5 Die Risiken nehmen katastrophale Ausmaße an . . . . . . . . . 109Die Angriffe auf die Datenintegrität und die Verfügbarkeit nehmen zu . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Algorithmen werden autonom und immer leistungsfähiger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Unsere Lieferketten sind zunehmend angreifbar . . . . . . . . 119Es wird nur noch schlimmer . . . . . . . . . . . . . . . . . . . . . . . . . 122

TEIL II Die Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

6 Wie ein sicheres Internet+ aussehen könnte . . . . . . . . . . . . 137Absicherung der Geräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Absicherung der Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Absicherung der Algorithmen . . . . . . . . . . . . . . . . . . . . . . . . 144Absicherung der Netzwerkverbindungen . . . . . . . . . . . . . . . 146Absicherung des Internets . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Absicherung kritischer Infrastruktur . . . . . . . . . . . . . . . . . . 149Systeme voneinander trennen . . . . . . . . . . . . . . . . . . . . . . . . 152

7 Wie wir das Internet+ absichern können . . . . . . . . . . . . . . . 155Standards entwickeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Fehlgerichtete Anreize korrigieren . . . . . . . . . . . . . . . . . . . . 160Haftungsfragen klären . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Informationsasymmetrie ausgleichen. . . . . . . . . . . . . . . . . . 172Öffentliche Aufklärung verbessern . . . . . . . . . . . . . . . . . . . . 178


Inhalt

7

Berufliche Standards einführen . . . . . . . . . . . . . . . . . . . . . . . 179Dem Fachkräftemangel begegnen . . . . . . . . . . . . . . . . . . . . . 181Forschung weiter ausbauen . . . . . . . . . . . . . . . . . . . . . . . . . . 182Wartung und Instandhaltung fördern . . . . . . . . . . . . . . . . . . 183

8 Der Staat ermöglicht Sicherheit . . . . . . . . . . . . . . . . . . . . . . . 185Eine neue Regierungsbehörde . . . . . . . . . . . . . . . . . . . . . . . . 186Staatliche Regulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Herausforderungen der Regulierung. . . . . . . . . . . . . . . . . . . 194Normen, Verträge und internationale Aufsichtsbehörden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

9 Wie der Staat die Defensive der Offensive vorziehen kann. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Offenlegen und Beheben von Sicherheitslücken . . . . . . . . . 207Design zugunsten der Sicherheit, nicht der Überwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213So viel wie möglich verschlüsseln . . . . . . . . . . . . . . . . . . . . . 217Sicherheit und Spionage voneinander trennen. . . . . . . . . . . 219Strafverfolgung verbessern . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Die Beziehung zwischen Regierung und Wirtschaftüberdenken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

10 Plan B: Was wahrscheinlich passieren wird . . . . . . . . . . . . . 229Die USA werden so schnell nichts unternehmen. . . . . . . . . 230Andere Länder werden regulieren . . . . . . . . . . . . . . . . . . . . . 234Was wir tun können . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

11 Welche Fehler die Politik begehen kann . . . . . . . . . . . . . . . . 243Hintertüren fordern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Verschlüsselung beschränken . . . . . . . . . . . . . . . . . . . . . . . . 249Anonymität verbieten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Massenüberwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Hacking Back . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Die Verfügbarkeit von Software begrenzen. . . . . . . . . . . . . . 258


Inhalt

8

12 Für ein vertrauenswürdiges, resilientes und friedliches Internet+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Ein resilientes Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Ein entmilitarisiertes Internet . . . . . . . . . . . . . . . . . . . . . . . . 267

Résumé: Technologie und Politik zusammenbringen. . . . . . . . 271

Ergänzende Hinweise und weiterführende Informationen . . . . 281

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377


9

Über den Autor

Bruce Schneier ist ein international renommierter Sicherheitstechnologe,der vom Economist als »Sicherheits-Guru« bezeichnet wird. Er hat bislang14 Bücher geschrieben, unter anderem den Bestseller Data and Goliath (dt.Titel: Data und Goliath – Die Schlacht um die Kontrolle unserer Welt: Wie wiruns gegen Überwachung, Zensur und Datenklau wehren müssen), und mehrereHundert Artikel, Essays und wissenschaftliche Arbeiten verfasst. Sein ein-flussreicher Newsletter Crypto-Gram und sein Blog Schneier on Securityhaben mehr als 250.000 Leser. Schneier ist Mitglied der wissenschaftlichenGesellschaft des Berkman Klein Center for Internet & Society an der Har-vard University, lehrt öffentliche Sicherheit und Ordnung an der HarvardKennedy School und sitzt bei der Electronic Frontier Foundation, bei AccessNow und beim Tor-Projekt im Vorstand. Bei EPIC und bei VerifiedVoting.orgist er beratend tätig. Zudem ist er Berater bei IBM Security und leitet denBereich Technologie bei IBM Resilient.


11

Einleitung:

Alles wird zum Computer

Betrachten Sie die folgenden drei Vorfälle und ihre Folgen.Erster Vorfall: 2015 übernahmen zwei Sicherheitsforscher die Steuerung

eines Jeep Cherokee, und zwar aus rund 16 Kilometern Entfernung über dasmit dem Internet verbundene Unterhaltungssystem des Fahrzeugs. EinVideo zeigt den entsetzten Gesichtsausdruck des Fahrers, der auf einerSchnellstraße unterwegs ist und hilflos zusehen muss, wie die Hacker dieKlimaanlage aufdrehen, den Radiosender wechseln, die Scheibenwischerbetätigen und schließlich den Motor abschalten. Da es sich hier nicht umeinen Mordversuch, sondern um eine Demonstration handelte, verzichte-ten die Forscher darauf, die Kontrolle über das Steuer oder die Bremsen zuübernehmen. Aber sie hätten es tun können.

Das war keineswegs eine einmalige Sache. Hacker haben in verschiede-nen Automodellen Sicherheitslücken aufgezeigt. Sie haben sich über denDiagnoseanschluss, über den DVD-Player, über das OnStar-Navigationssys-tem oder über die in die Reifen eingebetteten Computer eingehackt.

Auch Flugzeuge können gehackt werden. Es gibt zwar kein so anschau-liches Beispiel wie die Übernahme der Steuerung des Jeeps, aber Sicher-heitsforscher behaupten, dass die Bordelektronik von Flugzeugen über dasUnterhaltungssystem und über die Luft-Boden-Kommunikationssystemeangreifbar ist. Die Flugzeughersteller haben das jahrelang bestritten. 2017schließlich führte das US-Ministerium für Innere Sicherheit einen RemoteHack einer Boeing 757 vor. Einzelheiten wurden nicht veröffentlicht.

Zweiter Vorfall: 2016 zündeten – vermutlich russische – Hacker in einemUmspannwerk in Pivnichna bei Kiew in der Ukraine aus der Ferne eineCyberwaffe namens CrashOverride und schalteten es ab.


Einleitung: Alles wird zum Computer

12

Der Angriff mit CrashOverride unterschied sich von einem Cyberangriffim Jahr davor, der das Steuerungszentrum Prykarpattyaoblenergo im Wes-ten der Ukraine zum Ziel hatte. Dort kam es zwar ebenfalls zu einem Strom-ausfall, der Angriff war aber eher manueller Natur. Die Angreifer, vermut-lich ebenfalls Russen, erlangten über eine Hintertür einer SchadsoftwareZugriff auf das System, übernahmen die Computer des Steuerungszent-rums und schalteten den Strom ab. (Ein Mitarbeiter hat davon ein Video auf-genommen.) CrashOverride hingegen hat alles vollkommen automatischerledigt.

Letzten Endes hatten die Menschen, die vom Umspannwerk Pivnichnamit Strom versorgt wurden, noch Glück. Die Techniker nahmen das Kraft-werk kurzfristig vom Netz und konnten die Stromversorgung nach etwaeiner Stunde von Hand wiederherstellen. Ob ähnliche Kraftwerke in denUSA über vergleichbare Möglichkeiten des manuellen Eingriffs und das ent-sprechend geschulte Personal verfügen, ist unklar. CrashOverride war einemilitärische Waffe, modular aufgebaut und problemlos für andere Zieleumkonfigurierbar: Gaspipelines, Wasseraufbereitungsanlagen und so wei-ter. Die Cyberwaffe besaß verschiedene weitere sogenannte »Payloads«, diebeim Angriff in der Ukraine überhaupt nicht zum Einsatz kamen. Sie hättedie Stromversorgung durch das Umspannwerk wiederholt ein- und aus-schalten und dadurch physische Schäden an der technischen Ausrüstungverursachen können, die zu einem tagelangen oder sogar wochenlangenStromausfall geführt hätten. Mitten im ukrainischen Winter wäre das fürviele Menschen verhängnisvoll gewesen. Die Waffe wurde im Rahmen einerRegierungsaktion eingesetzt, zugleich war sie aber auch ein Test der eige-nen Fähigkeiten. In den letzten Jahren sind russische Hacker in mehr als20 US-Kraftwerke eingedrungen und haben dabei häufig Zugriff auf kriti-sche Systeme erlangt, ohne jedoch Schäden anzurichten; hierbei handelte essich ebenfalls um Tests der eigenen Fähigkeiten.

Dritter Vorfall: An einem Wochenende im Jahr 2017 hackte irgendje-mand 150.000 Drucker rund um den Globus. Der Hacker hatte ein Pro-gramm geschrieben, das automatisch unsichere Drucker erkannte und aufdiesen Geräten wiederholt ASCII-Art und spöttische Bemerkungen aus-druckte. Dergleichen kommt regelmäßig vor und kann im Grunde als Van-dalismus betrachtet werden. Im selben Jahr wurden an verschiedenen US-Universitäten Drucker gehackt, die dann Flugblätter mit antisemitischenParolen ausdruckten.



13

Angriffe dieser Art auf 3D-Drucker sind bislang noch nicht bekannt, aberes gibt keinen Grund, anzunehmen, dass diese Geräte nicht ebenso angreif-bar sind. Ein gehackter 3D-Drucker wäre nur ärgerlich und kostspielig, aberdas Ausmaß der Bedrohung nimmt drastisch zu, wenn es sich um einenBiodrucker handelt. Diese Technologie steckt zwar noch in den Kinderschu-hen, besitzt aber das Potenzial, speziell an individuelle Patienten angepassteViren zur Bekämpfung von Krebs (oder anderer Krankheiten) hervorzubrin-gen, die automatisch synthetisiert und zusammengesetzt werden.

Stellen Sie sich eine Zukunft vor, in der solche Biodrucker in Kranken-häusern, Apotheken und Arztpraxen verbreitet sind. Ein Hacker, der Fern-zugriff besitzt und über die erforderlichen Druckeranweisungen verfügt,könnte mit einem Biodrucker ein Killervirus erzeugen. Er könnte das Virusauf einem Drucker massenhaft ausdrucken oder auf vielen Druckern jeweilseine kleinere Menge ausgeben. Wenn sich das Virus ausbreitet und sichgenügend Menschen anstecken, hätten wir es mit einer weltweiten Epide-mie zu tun.

Dann hieße es tatsächlich: »Click here to kill everybody.«Warum sind solche Szenarien denkbar? Die Steuerung eines Autos aus

dem Jahr 1998 konnte nicht von einem kilometerweit entfernten Angreiferübernommen werden. Gleiches gilt für ein Kraftwerk aus dem Jahr 1998.Die heutigen Automodelle sind angreifbar, und auch die zukünftigen Bio-drucker werden angreifbar sein, weil es sich dabei im Grunde genommenum Computer handelt. Alles wird auf diese Weise angreifbar, weil alles zueinem Computer wird. Genauer gesagt: zu einem mit dem Internet verbun-denen Computer.

Ihr Backofen ist ein Computer, der Speisen erhitzt. Ihr Kühlschrank istein Computer, der Lebensmittel kühlt. Ihre Kamera ist ein Computer miteiner Linse und einem Blendenverschluss. Ein Geldautomat ist ein Compu-ter, der Bargeld enthält. Und moderne Glühlampen sind Computer, dieleuchten, wenn irgendjemand oder irgendein anderer Computer einenSchalter betätigt.

Früher war Ihr Auto ein mechanischer Apparat, der einige Computerbeherbergte. Heutzutage handelt es sich um ein aus 20 bis 40 Computernbestehendes verteiltes System mit vier Rädern und einem Motor. Wenn Sieauf die Bremse treten, haben Sie vielleicht den Eindruck, dass Sie das Autophysisch zum Stehen bringen, tatsächlich senden Sie jedoch lediglich ein



14

elektronisches Signal an die Bremsen – eine mechanische Verbindung zwi-schen Pedal und Bremsbelag gibt es nicht mehr.

2007 wurde Ihr Telefon mit der Einführung des iPhones zu einem leis-tungsfähigen Computer.

Smartphones sind unsere ständigen Begleiter. Wir verwenden das Präfix»smart« für computerisierte internetfähige Geräte und meinen damit, dasssie Daten sammeln, verarbeiten und weitergeben, um zu funktionieren.Auch ein Fernseher wird als smart bezeichnet, wenn er permanent Datenüber Ihre Sehgewohnheiten sammelt, um Ihre User Experience zu optimie-ren.

Schon bald werden smarte Geräte Teil unseres Körpers werden. Moder-ne Herzschrittmacher und Insulinpumpen sind smart. Medikamente inTablettenform sind auf dem Weg, smart zu werden. Smarte Kontaktlinsenzeigen nicht nur Informationen über das an, was Sie sehen, sondern auchIhren Blutzuckerspiegel, und sie können Grünen Star diagnostizieren. Fit-nessarmbänder sind smart und zunehmend in der Lage, unsere körper-lichen Zustände zu erfassen.

Es gibt aber noch mehr smarte Objekte. Für Ihren Hund können Sie einsmartes Halsband kaufen und für Ihre Katze ein smartes Spielzeug. Darü-ber hinaus sind smarte Stifte, smarte Zahnbürsten, smarte Kaffeetassen,smarte Sexspielzeuge, smarte Barbiepuppen, smarte Maßbänder undsmarte Sensoren für Ihre Zimmerpflanzen erhältlich. Sie können sogareinen smarten Motorradhelm erwerben, der automatisch den Krankenwa-gen ruft und Ihre Familie per Textnachricht informiert, falls Sie einenUnfall haben.

Das »Smart Home« hält gerade Einzug. Die virtuelle Assistentin Alexaund ihre Verwandten horchen auf Ihre Anweisungen und antworten Ihnen.Es gibt smarte Thermostate, smarte Steckdosen und smarte Küchengeräte,smarte Körperwaagen und smarte Toiletten, smarte Glühlampen und dazusmarte Hubs, die sie steuern. Es gibt smarte Türschlösser, die es Ihnenermöglichen, Handwerkern oder Lieferanten einen Code zu übermitteln,der den einmaligen Zutritt zu Ihrer Wohnung gewährt, und es gibt smarteBetten, die Ihre Schlafmuster aufzeichnen und Schlafstörungen diagnosti-zieren.

An manchen Arbeitsstätten sind solche smarten Geräte mit Überwa-chungskameras vernetzt, mit Sensoren, die den Bewegungen von Kundenfolgen und vielem mehr. Smarte Systeme sorgen in größeren Gebäuden für



15

eine effizientere Beleuchtung und einen besseren Fahrstuhlbetrieb, steuerndie Klimaanlage und verrichten viele weitere Aufgaben.

Einige Städte haben damit angefangen, smarte Sensoren in Straßen,Laternen und Gehwege einzubauen, und verwenden smarte Stromnetzeund smarte Verkehrsnetze. Schon bald wird Ihre Stadt in der Lage sein, IhreHaushaltsgeräte und andere Stromverbraucher zu steuern, um den Energie-verbrauch zu optimieren. Vernetzte fahrerlose Autos begeben sich dannautomatisch dorthin, wo sie benötigt werden, und minimieren dabei dendazu erforderlichen Energieverbrauch. Die Sensoren und Steuerungsanla-gen in den Straßen sorgen für einen besser geregelten Verkehr, verkürzenso die Anfahrtszeiten von Polizei und Rettungsdiensten und erstatten auto-matisch Bericht, wenn Straßen überlastet sind. Weitere Sensoren werdendie Effizienz der öffentlichen Dienstleistungen steigern, von Polizeieinsät-zen bis hin zu optimierten Wegstrecken bei der Müllentsorgung und derReparatur von Schlaglöchern. Und smarte Anzeigetafeln werden Sie beimVorbeigehen erkennen und auf Sie zugeschnittene Werbung zeigen.

Ein Umspannwerk ist im Grunde genommen nur ein Computer, derElektrizität verteilt und – wie alles andere auch – mit dem Internet verbun-den ist. CrashOverride hat das Umspannwerk Pivnichna nicht direkt infi-ziert. Es versteckte sich vielmehr in den Computern eines kilometerweit ent-fernten Steuerungszentrums, das via Internet mit dem Umspannwerkverbunden war.

Dieser technologische Wandel hat sich ungefähr im letzten Jahrzehntvollzogen. Früher enthielten Objekte Computer. Heute sind sie Computer,die mit Objekten verbunden sind. Und weil Computer immer kleiner undpreiswerter werden, werden sie in immer mehr Objekte eingebettet, diedadurch selbst zu Computern werden. Vielleicht ist Ihnen das noch garnicht aufgefallen, denn beim Kauf eines Autos oder eines Kühlschranks ach-ten Sie wohl kaum auf die Rechenleistung, sondern auf die Fähigkeit, Per-sonen zu transportieren bzw. Lebensmittel zu kühlen. Aber eigentlich han-delt es sich um Computer – und das spielt eine wichtige Rolle, wenn es umdie Sicherheit geht.

Unsere Vorstellung vom Internet hat sich ebenfalls verändert. Wirsuchen keinen bestimmten Ort in unserem Zuhause oder im Büro mehrauf, um uns mit einem scheinbar separaten Raum namens Internet zu ver-binden. Das Betreten von Chatrooms, das Herunterladen von E-Mails oder– in vielen Fällen – das Surfen im Internet gehören der Vergangenheit an.



16

Diese räumlichen Metaphern sind nicht mehr passend, und in ein paar Jah-ren wird die Bemerkung »Ich gehe ins Internet« ungefähr so viel Sinn erge-ben wie beim Anschließen eines Toasters an einer Steckdose zu sagen »Ichgehe ins Stromnetz.«

Diese allgegenwärtige Verbindung mit dem Internet wird als das »Inter-net of Things« (kurz IoT) bezeichnet. Dabei handelt es sich vornehmlich umeinen Marketingbegriff, der allerdings durchaus treffend ist. Das Unterneh-men Gartner, das technische Analysen durchführt, definiert das IoT als »dasNetzwerk physischer Objekte mit Embedded-Technologie, die es ihnenermöglicht, interne Zustände oder die externe Umgebung zu erfassen oderdamit zu interagieren«. Es geht also darum, alle möglichen Geräte über dasInternet miteinander zu verbinden, sodass wir mit den Geräten, die Geräteuntereinander sowie Geräte und verschiedene Computeranwendungen mit-einander kommunizieren können.

Das Ausmaß dieses Wandels ist atemberaubend. 2017 waren 8,4 Milli-arden Geräte mit dem Internet verbunden – hauptsächlich Computer undTelefone. Das entspricht einer Zunahme um ein Drittel im Vergleich zumVorjahr. 2020 werden es voraussichtlich zwischen 20 und 75 MilliardenGeräte sein – je nachdem, wessen Prognose Sie Glauben schenken.

Dieses explosionsartige Wachstum wird durch Hersteller verursacht, dieauf einen Wettbewerbsvorteil bedacht sind oder einfach nur mit der Konkur-renz Schritt halten wollen und zu dem Schluss gelangt sind, dass sie mitsmarten Produkten Erfolg haben werden. Computer werden nicht nurimmer kleiner, sondern auch billiger, deshalb werden wir sie in immermehr Bereichen vorfinden.

Ihre Waschmaschine ist bereits ein Computer, der Kleidungsstückewäscht. Wenn die neuesten, billigsten und leistungsfähigsten »Embedded-Computer« (eingebettete Computer) über eine Internetverbindung verfü-gen, wird es für Ihren Waschmaschinenhersteller einfacher, dieses Featureanzubieten. Und für Sie wird es immer schwieriger werden, eine Waschma-schine zu kaufen, die ohne Internetverbindung auskommt.

Vor zwei Jahren habe ich versucht, ein neues Auto zu kaufen, das keineInternetverbindung benötigt, und bin gescheitert. Es wurden zwar auchAutos ohne Internetverbindung angeboten, aber bei all den Modellen, diemir aus anderen Gründen zusagten, war ein Internetanschluss Standard.Und da die Kosten für diese Technologie sinken, wird sie überall Einzug hal-



17

ten. Das Internet wird zunehmend auch zum Bestandteil günstigerer undwenig vielseitiger Geräte werden, bis es überall zum Standard geworden ist.

Heutzutage mag es albern erscheinen, dass Ihre Waschmaschine übereinen Internetanschluss verfügt, und ausgeschlossen, dass Ihr T-Shirt einesTages einen besitzen wird. In einigen Jahren jedoch wird das der Normal-zustand sein. Computer werden immer leistungsfähiger, kleiner und billi-ger. Damit internetfähige Bekleidung zur Norm wird, müssen lediglich dieKosten eines Mikroprozessors niedriger sein als der Gewinn, den ein Händ-ler durch automatische Lagerhaltung (vor dem Verkauf) und automatischesNachverfolgen des Gebrauchs (nach dem Verkauf) erzielen kann. Wenn einweiteres Jahrzehnt vergangen ist, werden Sie womöglich keine T-Shirtsohne Sensoren mehr kaufen können und es für selbstverständlich halten,dass Ihre Waschmaschine mit der Wäsche kommuniziert und automatischermittelt, welches Waschprogramm und welches Waschmittel verwendetwerden soll. Und der Waschmaschinenhersteller verkauft die Informatio-nen, welche Kleidung Sie tragen – oder nicht mehr tragen –, an die Beklei-dungshersteller.

Wenn ich mich zu diesem Thema äußere, gibt es immer Leute, die fra-gen: »Warum?« Sie können nachvollziehen, dass Anwendungen sinnvollsind, mit denen sich Energie sparen lässt, begreifen aber nicht, weshalbjemand seine Kaffeetasse oder seine Zahnbürste mit dem Internet verbin-den sollte. 2016 war ein Bericht über einen internetfähigen Kühlschranküberschrieben mit »Der Trend, alle Gegenstände smart zu machen, ist nunoffiziell dämlich«.

Die Antwort auf die Frage »Warum?« ist ganz einfach: Marktwirtschaft.Wenn die Kosten für die Computerisierung sinken, verringert sich auch derGrenznutzen, der erforderlich ist, um die Computerisierung zu begründen– entweder in Form der bereitgestellten Features oder in Form der gesam-melten Daten. Das könnte dem Verbraucher zugutekommen, wenn erzusätzliche Features erhält, oder aber dem Hersteller, weil er herausfindet,wie er die Produkte an seine Kunden vermarkten kann. Unterdessen wen-den sich die Chiphersteller von spezialisierten Chips ab und fertigen statt-dessen billige Allzweckchips in Massenproduktion. Sobald Embedded-Computer erst einmal standardisiert sind, ist es für die Hersteller günstiger,sie mit integrierter Internetverbindung zu kaufen, als diese Funktion weg-zulassen. Es wird sehr kostengünstig möglich sein, eine Stadt buchstäblichmit Sensoren zu übersäen.



18

Alles zu computerisieren, hat verschiedene Vorteile. Einige davon sindschon heute erkennbar, andere zeigen sich erst, sobald die Anzahl dieserComputer eine kritische Masse erreicht hat. Das Internet of Things wirdzum Bestandteil sämtlicher Aspekte des täglichen Lebens werden, und ichglaube nicht, dass wir vorhersagen können, wohin diese Entwicklung füh-ren wird. Aufgrund ihres Ausmaßes und ihrer Reichweite werden wir einengrundlegenden Wandel erleben. Wenn das IoT an Größe zunimmt, wirdsich auch sein Charakter verändern. In der Gesamtheit entsteht ein komple-xes System, in dem alles miteinander verbunden ist. Auch wenn die einzel-nen Bestandteile nicht direkt zusammenwirken, so befinden sie sich dochim selben Netzwerk und beeinflussen einander.

Diese Entwicklung geht über das Internet of Things hinaus. BetrachtenSie zunächst einmal das Internet of Things oder, allgemeiner formuliert,cyberphysische Systeme. Hinzu kommen die Miniaturisierung von Senso-ren, Controllern und Sendern/Empfängern sowie autonome Algorithmen,Machine Learning und künstliche Intelligenz. Außerdem Cloud-Compu-ting mit zunehmend wachsender Speicherkapazität und Rechenleistung.Die generelle Verbreitung des Internets, die allgegenwärtigen Computerund die weitreichende Verfügbarkeit schneller drahtloser Internetverbin-dungen müssen ebenfalls berücksichtigt werden. Und schließlich spieltauch die Robotertechnik eine Rolle. Zusammengenommen ergibt sich soein globales Internet, das direkten physischen Einfluss auf seine Umweltnimmt: ein Internet, das fühlt, denkt und handelt.

Das sind keine voneinander unabhängigen, eindeutigen Trends, son-dern Entwicklungen, die sich angleichen, aufeinander aufbauen und sichgegenseitig verstärken. In der Robotertechnik kommen autonome Algorith-men zum Einsatz. Drohnen stellen eine Kombination aus dem IoT, Autono-mie und Anwendungen auf mobilen Endgeräten dar. Smarte Werbetafelnkombinieren Personalisierung mit dem IoT. Und ein System, das den Was-serdurchfluss eines Staudamms steuert, kombiniert cyberphysische Sys-teme, autonome Agenten und (vermutlich) Cloud-Computing.

Auch wenn wir es lieber nicht wahrhaben wollen: In vielen dieser Sys-teme sind Menschen nicht mehr als ein Bestandteil unter vielen. Wir liefernden Computern Eingaben und nehmen ihre Ausgaben entgegen. Wir sinddie Konsumenten ihrer automatisierten Funktionalität. Wir stellen die Ver-bindungen und die Kommunikationswege zwischen Systemen bereit, dienoch nicht smart genug sind, ganz ohne uns zurechtzukommen. Wir tragen



19

diese Systeme mit uns herum – zumindest solche, die physisch autonomfunktionieren. Wir nehmen Einfluss auf diese Systeme und werden vonihnen beeinflusst. Wir werden tatsächlich gewissermaßen zu virtuellenCyborgs werden, auch wenn sich die Geräte außerhalb unseres Körpersbefinden.

Für dieses neue »System aus Systemen« fehlt noch eine Bezeichnung. Esumfasst mehr als das Internet und mehr als das Internet of Things. Tat-sächlich besteht es aus dem Internet + den Dingen, oder genauer: dem Inter-net + den Dingen + uns Menschen. Oder kurz und bündig: Internet+. Ichwünschte, ich hätte mir diesen Begriff nicht ausdenken müssen, allerdingsist es mir nicht gelungen, eine vorhandene Bezeichnung für die Kulmina-tion all dieser Trends zu finden. Ich verwende also die Bezeichnung »Inter-net+«, zumindest in diesem Buch.

Wörter wie »smart« oder »denken« sind natürlich relativ und vor allemsehr ambitioniert, denn der überwiegende Teil des IoT ist nicht besonderssmart, und ein Großteil wird noch sehr lange dumm bleiben. Dennoch wirdes kontinuierlich smarter werden. Es ist zwar sehr unwahrscheinlich, dasses in absehbarer Zukunft Computer mit eigenem Bewusstsein geben wird,allerdings verhalten sich Computer bei bestimmten Aufgaben schon durch-aus intelligent. Durch die ständig zunehmende Interkonnektivität wird dasInternet+ nicht nur immer leistungsfähiger, sondern auch immer unsiche-rer. Dieses Buch beschreibt, warum dem so ist und was wir dagegen unter-nehmen können.

Die Sache ist ziemlich kompliziert, und ich beschreibe sie in zwei Teilen.In Teil I geht es um den aktuellen Stand der Computersicherheit in techni-scher, politischer und wirtschaftlicher Hinsicht sowie um die Entwicklun-gen, die dazu geführt haben. Computer werden immer kleiner und sindzunehmend besser in der Lage, ihre physische Umgebung zu beeinflussen,allerdings handelt es sich nach wie vor im Wesentlichen um die gleichenComputer, die wir seit Jahrzehnten verwenden. Die technischen Sicher-heitsprobleme sind unverändert, und die politischen Fragen sind dieselben,mit denen wir schon immer zu kämpfen hatten. Und weil Computer undKommunikationssysteme überall Einzug halten, gleicht sich eine Branchenach der anderen immer mehr der Computerbranche an. Computersicher-heit spielt für die allgemeine Sicherheit eine immer bedeutendere Rolle,und die Lehren, die wir aus der Computersicherheit gezogen haben, werdensich auf alles übertragen lassen. Ob es sich bei einem Computer um ein



20

Auto, ein Kraftwerk oder um einen Biodrucker handelt, spielt keine Rolle,denn eins steht fest: Sie sind anfällig für Angriffe durch Hobbyisten, Akti-visten, Kriminelle, Nationalstaaten und alle anderen, die über technischeFähigkeiten verfügen.

In Kapitel 1 lege ich kurz die technischen Gründe dar, wieso das Internetso unsicher ist. In Kapitel 2 erörtere ich, wie wir versuchen, die Sicherheitunserer Systeme aufrechtzuerhalten, nämlich durch das Patchen vonSicherheitslücken, wenn sie entdeckt werden, und warum diese Vorgehens-weise beim Internet+ scheitern wird. In Kapitel 3 geht es darum, wie wir unsim Internet identifizieren oder unsere Identität verbergen können. In Kapi-tel 4 beschreibe ich die politischen und wirtschaftlichen Kräfte, die zur Unsi-cherheit beitragen, nämlich Überwachungskapitalismus, Computer- bzw.Internetkriminalität und Cyberkrieg, sowie die aggressiven von Unterneh-men und Regierungen eingesetzten Praktiken, die der Unsicherheit einenNährboden bieten.

In Kapitel 5 erläutere ich, warum die Risiken zunehmen und wie sie zueiner Katastrophe führen können. »Click here to kill everybody« ist zwareine Übertreibung, allerdings leben wir bereits in einer Welt, in der Compu-terangriffe Autounfälle verursachen und Kraftwerke lahmlegen können –und das sind Aktionen, die katastrophale, tödliche Ausmaße annehmenkönnen, wenn sie in großem Maßstab durchgeführt werden. Wenn dannauch noch Hacks von Flugzeugen, medizinischen Geräten und praktischder gesamten globalen kritischen Infrastruktur hinzukommen, ergibt sichein ziemlich erschreckendes Gesamtbild.

Wenn Sie meine Bücher kennen und regelmäßig meine Artikel undmein Blog lesen, wird Ihnen vieles in Teil I bekannt vorkommen. FallsIhnen das Ganze neu ist: Diese Kapitel bilden die Grundlage der nachfol-genden.

Das Problem bei der Sicherheit des Internet+ ist, dass wir uns alle an dieaktuelle Situation gewöhnt haben. Bislang haben wir die Sicherheitsaspektevon Computern und dem Internet hauptsächlich dem Markt überlassen.Dieser Ansatz hat im Großen und Ganzen deshalb zufriedenstellend funk-tioniert, weil das Thema Sicherheit nicht so wichtig war. Es ging dabei vorallem um die Privatsphäre und lediglich um Kleinigkeiten. Wenn Ihr Com-puter gehackt wurde, gingen vielleicht wichtige Daten verloren oder IhreIdentität wurde gestohlen. Das war zwar sehr ärgerlich und mitunter kost-spielig, aber keine Katastrophe. Doch jetzt, da alles ein Computer ist, sind



21

Leben und Eigentum bedroht. Hacker können mit Ihrem Auto einen Unfallbauen, Ihren Herzschrittmacher abschalten oder das Stromnetz Ihrer Stadtlahmlegen – und das ist katastrophal.

In Teil II des Buchs erläutere ich die Änderungen der Richtlinien, dieerforderlich sind, um das Internet+ abzusichern. In Kapitel 6, Kapitel 7 undKapitel 8 geht um die Verbesserung der Sicherheit des Internet+: was ver-bessert werden muss, wie das geschehen könnte und wer dafür verantwort-lich ist. Nichts davon ist völlig neu oder sehr kompliziert, aber der Teufelsteckt ja bekanntlich im Detail. Nach der Lektüre von Kapitel 8 sind Sie hof-fentlich davon überzeugt, dass die Regierung die Verantwortung über-nehmen muss. Diese Rolle der Regierung zuzuweisen, bedeutet zwar einbeträchtliches Risiko, aber es gibt keine praktikable Alternative. Der derzeitunzureichende Sicherheitszustand des Internet+ hat folgende Ursachen:falsch gesetzte wirtschaftliche Anreize, eine Regierung, die offensive For-men der Internetnutzung den defensiven vorzieht, Probleme kollektivenHandelns und ein Marktversagen, das durch Intervention behoben werdenmuss. In Kapitel 8 schlage ich unter anderem die Gründung einer Regie-rungsbehörde vor, die mit anderen staatlichen Stellen zusammenarbeitetund diese bezüglich der Sicherheitsrichtlinien und der Technologie desInternet+ berät. Vielleicht sind Sie anderer Meinung. Das ist völlig in Ord-nung, aber diese Debatte muss geführt werden.

Kapitel 9 ist allgemeiner gehalten. Damit man ihr vertrauen kann, mussdie Regierung der Defensive Vorrang vor der Offensive geben. Ich be-schreibe, wie das vor sich gehen kann.

Aus praktischer Sicht ist es unwahrscheinlich, dass viele der von mir inKapitel 6 bis Kapitel 9 vorgeschlagenen Änderungen der Richtlinien kurz-fristig umgesetzt werden. Deshalb versuche ich in Kapitel 10, realistischerzu sein, und erläutere, was voraussichtlich geschehen wird und wie wir da-rauf reagieren können, sowohl in den Vereinigten Staaten als auch in ande-ren Ländern.

Kapitel 11 hat einige aktuelle politische Vorschläge zum Thema, die derSicherheit des Internet+ tatsächlich schaden würden. Kapitel 12 ist wiederallgemeiner und zeigt auf, wie wir ein Internet+ erschaffen können, in demVertrauen, Stabilität und Frieden die Norm sind – und wie es gestaltet seinkönnte.

Ich bin grundsätzlich der Meinung, dass eine vernünftige Regierunggute Arbeit leisten kann. Es kann schwierig sein, diesen Standpunkt zu ver-



22

treten, insbesondere in Anbetracht der ausgeprägt libertären Computer-branche, die tendenziell gegen eine Einmischung des Gesetzgebers undgegen Regulierung ist. Dieser Standpunkt ist jedoch von großer Bedeutung.Wir haben alle schon von den Fehlern der Regierung gehört, davon, wiemangelhaft sie ihre Aufgaben erledigt und dass sie schlicht und einfach dentechnologischen Fortschritt behindert. Weniger im Licht der Öffentlichkeitsteht, dass die Regierung Märkte lenkt, Individuen schützt und als Gegen-gewicht zur Macht der Konzerne fungiert. Das Fehlen einer staatlichen Auf-sicht ist einer der Hauptgründe dafür, dass das Internet+ heutzutage sounsicher ist. Und da die Risiken immer katastrophalere Ausmaße anneh-men, ist eine Beteiligung der Regierung nötiger als je zuvor.

Ich beende das Buch mit einem Aufruf zum Handeln, der sowohl an diepolitischen Entscheidungsträger als auch an die technisch Verantwortlichengerichtet ist. Die Erörterungen der Richtlinien sind ihrem Wesen nach sehrtechnisch. Wir brauchen deshalb politische Entscheidungsträger mit tech-nischem Sachverstand und technisch Verantwortliche, die sich in der Politikengagieren. Wir müssen ein Fachgebiet erschaffen und fördern, das sichmit im öffentlichen Interesse stehenden Technologien befasst. Das ist nichtnur für die Sicherheit des Internet+ von Bedeutung, aber ich rufe dazu fürmeinen speziellen Technologiebereich auf, weil ich mich hier auskenne.

Im gesamten Buch kommen verschiedene weitere Themen zur Sprache.

� Das Sicherheitswettrüsten. Es ist oft aufschlussreich, Sicherheit als eintechnologisches Wettrüsten zwischen Angreifer und Verteidiger zubetrachten. Der Angreifer entwickelt eine neue Technologie, und derVerteidiger reagiert darauf, indem er eine Schutztechnologie entwickelt.Oder der Verteidiger entwickelt eine neue Defensivtechnologie, die denAngreifer dazu zwingt, sich daran anzupassen. Wie sich dieses Wettrüs-ten im Internet+ abspielt, ist für das Verständnis der Sicherheit von ent-scheidender Bedeutung.

� Vertrauen. Wir denken zwar nur selten darüber nach, aber Vertrauen istfür das Funktionieren der Gesellschaft auf allen Ebenen ungemeinwichtig. Im Internet ist Vertrauen allgegenwärtig. Wir vertrauen denComputern, der Software und den Internetdiensten, die wir nutzen. Wirvertrauen den unsichtbaren Teilen des Netzwerks und den Verfahrenzur Herstellung der Geräte, die wir verwenden. Wie wir dieses Ver-trauen aufrechterhalten und wie es untergraben wird, ist für das Ver-ständnis der Sicherheit im Internet+ ebenfalls von entscheidenderBedeutung.



23

� Komplexität. Bei diesen Aufgaben ist alles komplex: die Technologie, dieRichtlinien und das Zusammenspiel von Technologie und Richtlinien.Politik, Wirtschaft und Soziologie sind ebenfalls in vielerlei Hinsichtkomplex, und die Komplexität nimmt im Laufe der Zeit weiter zu. Die Si-cherheit im Internet+ ist ein sogenanntes »Wicked Problem«. »Wicked«bedeutet nicht, dass das Problem »böse« ist, sondern dass es schwer odergar nicht lösbar ist. Das liegt daran, dass es schon knifflig ist, die Aufgabeund die Anforderungen überhaupt zu definieren, geschweige denn, einebrauchbare Lösung zu finden.

In diesem Buch kommen sehr viele verschiedene Themen zur Sprache, des-halb werden sie oft nur beiläufig und oberflächlich erwähnt. Die ausführli-chen Endnoten sollen sowohl als Referenz als auch als Einladung zur wei-teren Lektüre dienen. Sie wurden Ende April 2018 überprüft und sind aufder englischen Website zum Buch als anklickbare Links zu finden: https://www.schneier.com/ch2ke.html. Auch Aktualisierungen zum Buch werden ge-gebenenfalls dort veröffentlicht. Auf https://www.schneier.com finden Sie zu-dem meinen monatlich erscheinenden E-Mail-Newsletter und mein täglichaktualisiertes Blog zu diesen Themen sowie alle anderen Veröffentlichun-gen von mir.

Ich betrachte diese Herausforderungen von einer Metaebene aus. Ich binvor allem Technologe, kein Entscheidungsträger und schon gar kein politi-scher Analyst. Ich bin in der Lage, technologische Lösungen für Sicherheits-probleme zu beschreiben, und kann sogar erklären, welche neuen Arten vonRichtlinien erforderlich sind, um die technologischen Lösungen zu finden,zu entwickeln und zu implementieren. Ich schreibe jedoch nichts über diePolitik, die zu dieser Änderung der Richtlinien führt. Wie Sie Unterstützungfür derartige Gesetzesänderungen gewinnen und diese durchsetzen kön-nen, kann ich Ihnen nicht sagen, nicht einmal, wie Sie erreichen, dasszumindest deren Realisierbarkeit erörtert wird. Hierbei handelt es sich umeine klaffende Lücke in diesem Buch, die ich in Kauf nehme.

Darüber hinaus schreibe ich aus Sicht der Vereinigten Staaten. Die meis-ten Beispiele entstammen den USA, und die meisten Empfehlungen sindauf die dortige Situation anwendbar. Zum einen kenne ich mich in meinerHeimat am besten aus. Zum anderen glaube ich allerdings auch, dass dieUSA ein ausgezeichnetes Beispiel dafür sind, was schiefgehen kann. Zu-gleich befinden sie sich – aufgrund ihrer Größe und ihrer Marktposition –in der einzigartigen Lage, die Umstände verbessern zu können. In diesem



24

Buch geht es zwar nicht schwerpunktmäßig um internationale Belange oderdie Geopolitik der Sicherheit des Internets, diese Themen sind jedoch in denverschiedenen Kapiteln eingestreut.

Die Fragestellungen, um die es hier geht, entwickeln sich kontinuierlichweiter, und ein Buch wie dieses kann dementsprechend nur eine Moment-aufnahme liefern. Als ich im März 2014 das Buch Data and Goliath (dt. Aus-gabe Data und Goliath, 2015) fertiggestellt hatte, machte ich mir Sorgen, weildas Buch erst sechs Monate später erscheinen sollte. Ich hoffte, dass wäh-rend dieses Zeitraums nichts geschieht, durch das die Inhalte des Buchesüberholt wären. So geht es mir jetzt wieder, allerdings bin ich zuversichtli-cher. Denn es ist sehr unwahrscheinlich, dass ein bedeutendes Ereignis ein-tritt, das ein Umschreiben des Buchs erforderlich machen würde. MitSicherheit werden neue Geschichten und Beispiele auftauchen, aber dashier beschriebene Gesamtbild wird wahrscheinlich noch viele Jahre aktuellbleiben.

Die Zukunft der Sicherheit des Internet+ – oder die Cybersicherheit,wenn Ihnen militärische Ausdrücke zusagen – ist ein riesiges Themenge-biet, und für die meisten Kapitel dieses Buchs wären eigentlich eigeneBücher angemessen. Ich habe die Hoffnung, dass ich den Lesern einenÜberblick verschaffen, ein Gespür für die Probleme vermitteln und einenungefähren Plan für Verbesserungen liefern kann, indem ich thematischnicht in die Tiefe, sondern in die Breite gehe. Mein Ziel ist es, dass sich eingrößeres Publikum an dieser wichtigen Debatte beteiligt, und ich möchteden Lesern das Wissen für eine sachkundige Diskussion vermitteln. Wirwerden in den kommenden Jahren bedeutsame Entscheidungen treffen.Selbst wenn wir uns entschließen, nichts zu ändern, ist das eine wichtigeEntscheidung.

Die Risiken werden nicht verschwinden. Sie sind nicht auf Ländermit wenig entwickelter Infrastruktur oder eher totalitären Regierungenbeschränkt. Und sie werden auch dann nicht verschwinden, wenn wir end-lich Ordnung in das Durcheinander des zerrütteten politischen Systems inden Vereinigten Staaten gebracht haben. Die Probleme werden auch nichtdurch die Kräfte des Marktes wie von Zauberhand von allein gelöst werden.Wenn es Lösungen geben wird, dann nur deshalb, weil wir uns bewusstdazu entschlossen haben und bereit sind, den politischen, wirtschaftlichenund sozialen Aufwand, der mit diesen Lösungen verbunden ist, in Kauf zunehmen.



25

Die ganze Welt ist voller Computer, und wir müssen diese Computerabsichern. Dazu müssen wir umdenken. Der frühere FCC-Vorsitzende TomWheeler scherzte 2017 auf einer Konferenz zum Thema Internetsicherheitin Anlehnung an die ehemalige US-Außenministerin Madeleine Albright:»Wir stehen vor einem Problem des 21. Jahrhunderts, diskutieren es mitBegriffen aus dem 20. Jahrhundert und schlagen Lösungen aus dem 19.Jahrhundert vor.« Er hat völlig recht – das müssen wir besser machen.Unsere Zukunft hängt davon ab.

– Minneapolis, Minnesota und Cambridge, Massachusetts, April 2018


27

Dank

Man sollte meinen, dass man nach einem Dutzend Büchern allmählichweiß, wie der Hase läuft. Aber jedes Buch ist anders. Ich habe mit der Arbeitan diesem Buch zu früh nach Data and Goliath begonnen und deshalb wohleinige Fehlstarts hingelegt. Ich habe mit dem Schreiben des Buchs, das Siegerade lesen, im Sommer 2017 angefangen und es Ende März 2018 zur Ver-öffentlichung eingereicht.

Bei meinen anderen Büchern wurde ich von einem Spitzenteam unter-stützt, das auch bei diesem Buch wieder zusammengefunden hat. KathleenSeidel ist eine außerordentliche Forscherin, die auch ein gutes Gespür fürProsa besitzt, im Großen wie im Kleinen. Beth Friedmann hat alles redi-giert, was ich in den letzten 20 Jahren geschrieben habe. Sie kennt mich undmeinen Schreibstil, und ich wüsste nicht, was ich ohne sie machen sollte.Sie hat das Buch nicht nur redigiert, bevor es beim Verlag eingereicht wurde,sondern sie hat sich auch mit der dortigen Redakteurin auseinandergesetzt,damit ich das nicht tun musste. Rebecca Kessler hat eine dringend nötigeÜberarbeitung vorgenommen, als das Buch schon fast fertig war. Sie istebenfalls unbezahlbar. Zu diesen drei kommt noch Katherine Manstedhinzu, die kurz vor Fertigstellung weitere Beiträge und Zusammenfassun-gen lieferte.

Viele Leute haben das gesamte Manuskript oder Teile davon gelesen.Alle gefundenen Fehler und Hinweise auf Unklarheiten haben zur Verbes-serung des Buchs beigetragen. Hier sind diese Menschen: Michael Adame,Ross Anderson, Steve Bass, Michael Brennan, John Bruce, Cody Charette,John Davis, Judith Donath, Nora Ellingsen, Mieke Eoyang, Greg Falco,Hubert Feyrer, John Fousek, Brett Frischmann, Blair Ganson, Jason Giffey,Jack Goldsmith, Chloe Goodwin, Sarah Grant, Eldar Haber, Bill Herdle,


Dank

28

Trey Herr, Christopher Izant, Andrei Jaffe, Danielle Kehl, Eliot Kim, XiaKing, Jonathan Korn, Nadiya Kostyuk, Alexander Krey, Lydia Lichlyter, Ale-ecia McDonald, Daniel Miessler, Adam Montville, Kee Nethery, DavidO’Brien, Christen Paine, David Perry, Stuart Russell, Martin Schneier, NickSinai, Nathaniel Sobel, Hannah Solomon-Strauss, Lance Spitzner, StephenTaylor, Marc van Zadelhoff, Arun Vishwanath, Sara M. Watson, Jarad Web-ber, Tom Wheeler und Ben Wizner. Es ist keine Übertreibung, zu behaup-ten, dass dieses Buch ohne sie deutlich schlechter wäre.

W. W. Norton (der amerikanische Originalverlag) ist und bleibt hervor-ragend und ich möchte meinem ursprünglichen Lektor Jeff Shreve sowieBrendan Curry danken, der nach Jeffs Ausscheiden seine Aufgaben über-nommen hat. Jeff hatte den übereilten Vertrag unterzeichnet und erwiessich als sehr geduldig, als ich ins Schwimmen kam und den geplanten Abga-betermin verpasste. Mir ist klar, dass es sich nach einem Klischee anhört, zusagen, dass mein Lektor nie das Vertrauen in mich verloren hat – tatsächlichhabe ich keine Ahnung, was in seinem Kopf vorgeht –, aber er behauptetselbst, nie das Vertrauen in mich verloren zu haben. Und Norton wollte denVorschuss nicht zurücknehmen, obwohl ich die Rückzahlung anbot. Bren-dan Curry hatte es leichter. Zu dem Zeitpunkt, als er übernahm, machte ichtatsächlich Fortschritte. Seine Arbeit bei der Veröffentlichung war vorbild-lich, insbesondere in Anbetracht der Tatsache, dass ich ständig auf einenengeren Zeitplan drängte.

Auch Susan Rabiner ist und bleibt eine ausgezeichnete Agentin. Wennes lediglich um das Aushandeln eines Vertrags ginge, könnte jeder dieseAufgabe erledigen, aber ich bin immer wieder überrascht, wie wichtig es ist,dass jemand zwischen mir und dem Verlag vermittelt.

Ich möchte auch der Harvard University danken – dem Berkman KleinCenter for Internet & Society, dem Cybersicherheitsprojekt am Belfer Cen-ter for Science and International Affairs im Besonderen sowie der HarvardKennedy School of Government im Allgemeinen, die mir beim Schreiben,bei Vorträgen und beim Unterrichten ein Zuhause bietet. Ich schätze meineKollegen und Freunde, die in diesen Institutionen tätig sind, wirklich sehr.Dieses Buch ist von ihren Ideen und Idealen durchdrungen. Ich möchtemeinem Hauptarbeitgeber Resilient Systems (aus dem inzwischen IBMResilient geworden ist, das wiederum schon bald ein Teil von IBM Securitysein wird) danken, dass er mir den für das Schreiben und die Veröffentli-chung dieses Buchs erforderlichen Raum gegeben hat.


Dank

29

Zum Abschluss möchte ich meiner Frau Karen Cooper, mit der ich seit21 Jahren verheiratet bin, sowie allen Freunden und Kollegen dafür danken,dass sie Geduld mit mir hatten, während ich das Buch schrieb. Ich neigedazu, eine gewisse Abhängigkeit von meinen Buchmanuskripten zu entwi-ckeln. Wenn mit ihnen alles in Ordnung ist, geht es mir gut. Falls Schwie-rigkeiten auftreten, bin ich unzufrieden. Dieses Buch hatte, wie alle anderenauch, so seine Momente. Ich danke euch allen für eure Geduld und euerWohlwollen.


35

1

Computer sind immer noch schwierig zu sichern

Sicherheit ist immer eine Frage von Kompromissen. Meistens muss Sicher-heit gegen Bequemlichkeit abgewogen werden, manchmal auch gegenFunktionalität oder Performance. Dass wir diese Eigenschaften der Sicher-heit vorziehen, ist der Hauptgrund dafür, dass Computer unsicher sind.Allerdings ist es auch alles andere als einfach, Computer abzusichern.

Berühmt ist das folgende Zitat des Internetsicherheitsforscher GeneSpafford: »Das einzige wirklich sichere System ist ausgeschaltet, in einenBetonblock eingegossen und befindet sich in einem mit Blei abgeschirmten,versiegelten Raum, der von bewaffnetem Sicherheitspersonal bewacht wird– und selbst dann habe ich noch meine Zweifel.« Diese Aussage stammt ausdem Jahr 1989 und ist damit fast 30 Jahre alt, aber immer noch richtig.

Sie trifft auf herkömmliche Computer ebenso zu wie auf die mit demInternet verbundenen Embedded-Computer, die heute allgegenwärtig sind.Der ehemalige Direktor des National Cybersecurity Center, Rod Beckstrom,fasste die Situation kürzlich folgendermaßen zusammen:

1. Alle mit dem Internet verbundenen Geräte können gehackt werden.

2. Alle Geräte sind mit dem Internet verbunden.

3. Folglich können alle Geräte gehackt werden.

Tatsächlich ist es dermaßen schwierig, Computer abzusichern, dass jederSicherheitsforscher einen eigenen pointierten Spruch zu diesem Themaparat hat. Meiner stammt aus dem Jahr 2000 und lautet: »Sicherheit ist einProzess und kein Produkt.«

Die Gründe dafür sind äußerst vielfältig.


Kapitel 1

36

Die meiste Software ist schlecht programmiert und unsicher

Ich spiele Pokémon Go auf meinem Smartphone, und das Spiel stürzt stän-dig ab. Es ist extrem instabil, aber das ist nichts Ungewöhnliches. Wir ken-nen das alle. Unsere Computer und Smartphones hängen sich regelmäßigauf. Websites werden nicht geladen. Features funktionieren nicht. Wirsichern unsere Daten zwanghaft und erstellen Sicherheitskopien unsererDateien oder verwenden Systeme, die das automatisch für uns erledigen.Wir starten unsere Computer neu, wenn sie anfangen, sich merkwürdig zuverhalten. Hin und wieder verlieren wir wichtige Daten. Und wir erwartenauch gar nicht, dass unsere Computer genauso zuverlässig funktionierenwie die anderen Produkte, die wir im Alltag verwenden, obwohl wir stetsfrustriert sind, wenn sie es nicht tun.

Die Software ist so mangelhaft programmiert, weil der Markt qualitativhochwertige Software – von einigen wenigen Ausnahmen abgesehen –nicht honoriert. »Gut, schnell, billig – Sie können nur zwei davon wählen«;geringe Kosten und schnelle Verfügbarkeit auf dem Markt sind in der Regelwichtiger als die Qualität. Für die meisten von uns hat sich mangelhaft pro-grammierte Software in vielen Fällen als gut genug erwiesen.

Die Softwarebranche ist auf allen Ebenen von dieser Philosophie durch-drungen. Die Unternehmen belohnen qualitativ hochwertige Software nichtim selben Maß wie eine frühzeitige Fertigstellung oder eine Unterschrei-tung des Budgets. Universitäten legen vor allem Wert darauf, dass Codefunktioniert, und sei es auch nur notdürftig, seine Zuverlässigkeit ist weni-ger wichtig. Und die meisten Nutzer sind nicht bereit, die Kosten zu tragen,die mit einer höheren Qualität verbunden wären.

Moderne Software ist mit unzähligen Bugs gespickt. Einige davon sindaufgrund der Komplexität der Software unvermeidlich – mehr dazu später –,aber die meisten sind Programmierfehler, die während des Entwicklungs-prozesses nicht behoben wurden. Nachdem die Entwicklung abgeschlossenund die Software ausgeliefert wurde, sind diese Bugs noch immer vorhan-den. Dass auf diese Weise erstellte Software überhaupt funktioniert, zeigtnur, wie gut wir mit den Einschränkungen fehlerhafter Software umgehenkönnen.

Natürlich sind nicht alle Entwicklungsprozesse von Software miteinan-der vergleichbar. Microsoft hat das Jahrzehnt nach 2002 der Prozessverbes-



37

serung gewidmet, um die Anzahl der Sicherheitslücken in der ausgeliefer-ten Software zu minimieren. Die Produkte sind zwar beileibe nicht perfekt– das liegt noch außerhalb der Möglichkeiten der Technologie –, sie sindjedoch deutlich besser als der Durchschnitt. Apple ist für die Qualität seinerSoftware bekannt, ebenso Google.

Es gibt auch kleine Programmteile von entscheidender Bedeutung, diequalitativ hochwertig sind. So unterliegt etwa die Software zur Steuerungder Bordelektronik von Flugzeugen einer sehr strengen Qualitätskontrolle.Und die Qualitätskontrolle der NASA für die Software der Spaceshuttles istlegendär.

Dass es sich hierbei um Ausnahmen handelt, hängt sowohl mit der Bran-che als auch mit den betroffenen Unternehmen zusammen: Die Betriebssys-temhersteller investieren grundsätzlich sehr viel Geld, kurze Codeabschnittekorrekt zu programmieren, ist relativ einfach, und Steuerungssoftware fürFlugzeuge ist hochgradig reglementiert. Die Standards der Qualitätskon-trolle der NASA sind nach wie vor extrem konservativ. Und selbst vergleichs-weise hochwertige Systeme wie Windows, macOS, iOS und Android müssenständig gepatcht werden.

Einige dieser Bugs stellen auch Sicherheitslücken dar, von denen wiede-rum einige von Angreifern ausgenutzt werden können. Ein typisches Bei-spiel für einen solchen Bug ist ein sogenannter »Buffer-Overflow« (Puffer-überlauf). Dabei handelt es sich um einen Programmierfehler, der es einemAngreifer unter bestimmten Umständen ermöglicht, das Programm zuzwingen, beliebigen Code auszuführen und so die Kontrolle über den Rech-ner zu übernehmen. Es gibt eine Vielzahl von potenziellen Fehlern wie die-sen. Einige davon unterlaufen den Programmierern leichter als andere.

Es ist schwierig, hier Zahlen zu nennen. Wir wissen nicht, wie viel Pro-zent der Bugs auch Sicherheitslücken darstellen und wie groß der Anteil derausnutzbaren Sicherheitslücken ist. Deshalb wird zu Recht diskutiert, obausnutzbare Sicherheitslücken eher selten oder doch massenhaft vorhan-den sind. Ich bin der festen Überzeugung, dass sie sehr zahlreich sind.Umfassende Softwaresysteme weisen Tausende ausnutzbarer Sicherheits-lücken auf, und man muss nur eine einzige davon finden, um in das Systemeinzubrechen.

Sicherheitslücken sind also reichlich vorhanden, das heißt jedoch nicht,dass sie gleichmäßig verteilt sind. Manche sind leicht zu finden, bei anderenist es schwieriger. Die Sicherheit von Software wurde durch Tools, die ganze


Kapitel 1

38

Klassen von Sicherheitslücken aufspüren und beheben können, erheblichverbessert. Wenn jemand eine Sicherheitslücke entdeckt, ist es wahrschein-lich, dass jemand anderes sie ebenfalls bald entdecken wird oder schon ent-deckt hat. Heartbleed zum Beispiel ist eine Sicherheitslücke in der OpenSSL-Bibliothek, die zwei Jahre lang unentdeckt blieb. Dann wurde sie innerhalbweniger Tage unabhängig voneinander von zwei Forschern entdeckt. DieSicherheitslücken Spectre und Meltdown, die Mikroprozessoren betreffen,existierten schon mindestens zehn Jahre, bevor sie 2017 von mehreren For-schern entdeckt wurden. Dass diese Sicherheitslücken zur gleichen Zeitgefunden wurden, scheint Zufall zu sein, zumindest kenne ich keine andereplausible Erklärung. Wir werden in Kapitel 9 darauf zurückkommen, wennes darum geht, dass Regierungen Sicherheitslücken horten, um sie zur Spi-onage und als Cyberwaffen einzusetzen.

Mit der explosionsartigen Zunahme der Anzahl von IoT-Geräten sindmehr Software, mehr Codezeilen und dementsprechend noch mehr Bugsund weitere Sicherheitslücken verbunden. Die niedrigen Preise von IoT-Geräten bedeuten weniger sachkundige Programmierer, nachlässigere Soft-wareentwicklungsprozesse und mehr wiederverwendeten Code. EinzelneSicherheitslücken haben noch weitreichendere Auswirkungen, da sie un-zählige Male vervielfältigt werden. Die von uns verwendete Software, dieauf unseren Computern und Smartphones, auf medizinischen Geräten,im Internet und auf Systemen zur Steuerung kritischer Infrastrukturläuft, ist also in mehrfacher Hinsicht unsicher. Das lässt sich nicht einfachdadurch lösen, dass die einzelnen Sicherheitslücken gefunden und beho-ben werden – dafür sind es viel zu viele. Vielmehr ist unsichere Software einProblem, mit dem wir auf absehbare Zeit leben müssen.

Sicherheit spielte bei der Entwicklung des Internets keine Rolle

Im April 2017 wurde plötzlich rund 18 Minuten lang 15 Prozent des gesam-ten Datenverkehrs im Internet über chinesische Server umgeleitet. Wirwissen nicht, ob die chinesische Regierung dahintersteckte und Überwa-chungsmöglichkeiten getestet hat oder ob es sich tatsächlich um einVersehen handelte. Wir wissen aber sehr wohl, wie die Angreifer das ange-stellt haben: Sie nutzten eine Schwäche des Border Gateway Protocol aus.



39

Das Border Gateway Protocol oder kurz BGP legt fest, wie der Datenver-kehr des Internets physisch durch diverse Kabel und andere Verbindungenzwischen den Internetanbietern und den verschiedenen Ländern bzw. Kon-tinenten geleitet wird. Da es keine Authentifizierung gibt und alle beteilig-ten Systeme sämtlichen Informationen über die Geschwindigkeit einer Ver-bindung und deren Auslastung vertrauen, kann das BGP manipuliertwerden. Dank der von dem Whistleblower und ehemaligen CIA-MitarbeiterEdward Snowden offengelegten Dokumente wissen wir, dass die NSA dieseSchwachstelle des Protokolls ausnutzt, um bestimmte Datenströme leichterabhören zu können. 2013 berichtete ein Unternehmen von 38 Vorfällen, beidenen der Internetdatenverkehr über in Weißrussland oder bei isländischenProvidern befindliche Router umgeleitet wurde. 2014 nutzte die türkischeRegierung dieses Verfahren, um Teile des Internets zu zensieren. 2017wurde ein- und ausgehender Datenverkehr mehrerer bedeutender Internet-provider in den Vereinigten Staaten kurzzeitig über einen obskuren russi-schen Provider umgeleitet. Und diese Angriffsmethode wird nicht nur vonStaaten eingesetzt. Schon 2008 wurde in einem Vortrag auf der Hackerkon-ferenz DefCon vorgeführt, wie jeder davon Gebrauch machen kann.

Als das Internet entwickelt wurde, ging es bei der Sicherheit vornehm-lich um den Schutz vor physischen Angriffen auf das Netzwerk. Dank derfehlertoleranten Architektur kann das Internet mit dem Ausfall oder derZerstörung von Servern und Verbindungen umgehen. Mit systembedingtenAngriffen auf die zugrunde liegenden Protokolle kommt es hingegen nichtzurecht.

Bei der Entwicklung der grundlegenden Internetprotokolle wurde derSicherheit keine Beachtung geschenkt, und viele davon sind noch heuteunsicher. Das Absenderfeld einer E-Mail wird beispielsweise überhauptnicht überprüft: Als Absender kann eine beliebige Person oder Firma ange-geben werden. Der Domain Name Service (DNS), der für Menschen ver-ständliche Bezeichnungen in numerische Internetadressen übersetzt, istebenfalls ungeschützt. Auch das Network Time Protocol, das für die zeitli-che Synchronisierung sorgt, ist unsicher, ebenso wie das ursprünglicheHTML-Protokoll, auf dem das World Wide Web beruht. Das etwas sicherereHTTPS-Protokoll weist immer noch eine Reihe von Sicherheitslücken auf.All diese Protokolle können von Angreifern leicht für ihre Zwecke miss-braucht werden.


Kapitel 1

40

Entwickelt wurden diese Protokolle in den 1970ern und Anfang der1980er-Jahre, als das Internet nur für Forschungseinrichtungen zugänglichwar und nicht für kritische Aufgaben genutzt wurde. Der MIT-ProfessorDavid Clark, einer der Architekten des frühen Internets, erinnert sich: »Esist nicht so, dass wir uns keine Gedanken um die Sicherheit gemacht hätten.Uns war klar, dass es irgendwo da draußen Menschen gab, die nicht vertrau-enswürdig waren, aber wir dachten, wir könnten sie von der Nutzung desInternets ausschließen.« Ja, sie glaubten damals tatsächlich, sie könntenden Internetzugang auf ihnen bekannte Personen beschränken.

Noch bis Ende 1996 war die vorherrschende Meinung, dass die End-punkte, also die Computer, vor denen die Leute sitzen, für die Sicherheitzuständig sind, nicht das Netzwerk. Die Internet Engineering Task Force(IETF), die für die Industriestandards des Internets verantwortlich zeichnet,äußerte sich dazu 1996 folgendermaßen:

Es ist erstrebenswert, dass Netzbetreiber die Privatsphäre schützen und dieAuthentizität sämtlichen Datenverkehrs sicherstellen, doch die Architektur erfor-dert das nicht. Für Vertraulichkeit und die Authentifizierung sind die Nutzer ver-antwortlich, und beides muss in den von ihnen verwendeten Protokollen imple-mentiert werden. Die Endpunkte sollten nicht auf die Vertraulichkeit undIntegrität der Netzbetreiber angewiesen sein. Die Netzbetreiber können gewisseSchutzmaßnahmen bereitstellen, die aber der Verantwortlichkeit des Nutzers, sichselbst zu schützen, untergeordnet sind.

Das ist gar nicht so unvernünftig, wie es vielleicht auf den ersten Blickerscheint. In Kapitel 6 komme ich auf das Ende-zu-Ende-Netzwerkmodellzu sprechen, bei dem, wie von der IETF beschrieben, nicht das Netzwerk fürdie Sicherheit verantwortlich ist. Die Anwender waren jedoch viel zu langeuneinsichtig, und selbst Sicherheitsaspekte, die ohnehin nur innerhalb desNetzwerks sinnvoll sind, wurden nicht berücksichtigt.

Das zu ändern war schwierig und manchmal sogar unmöglich. Die IETFhat schon seit Anfang der 1990er-Jahre immer wieder Vorschläge zur Erhö-hung der BGP-Sicherheit gemacht, um Angriffen vorzubeugen, aber alldiese Maßnahmen krankten stets daran, dass kein gemeinsames Handelnzustande kam. Die besser abgesicherten Systeme einzusetzen, bot nur dannVorteile, wenn es in hinreichend vielen Netzwerken geschah. Die erstenUmsteiger wurden für ihre harte Arbeit also kaum belohnt. Das Ganzeführte zu einer absurden Situation: Für einen Provider ist es wenig sinnvoll,die neue Technologie als Erster einzuführen, weil sie mit hohen Kosten ver-



41

bunden ist und praktisch keinen Nutzen hat. Es erscheint erheblich klüger,zu warten, bis andere die Umstellung vollziehen. Das Ergebnis kennen wirnatürlich: Das Problem ist seit 20 Jahren bekannt, aber es gibt noch immerkeine Lösung.

Es gibt weitere vergleichbare Beispiele. DNSSEC ist ein Upgrade, das dieSicherheitsprobleme des DNS-Protokolls lösen würde. Das DNS-Protokollist wie das BGP ungeschützt, und das System ist dadurch auf vielfältigeWeise angreifbar. Und wie beim BGP ist es 20 Jahre her, dass die Tech-Com-munity eine Lösung entwickelt hat, die jedoch noch nicht implementiertwurde, weil die Mehrheit der DNS-Server sie zunächst übernehmen müsste,bevor irgendjemand einen Vorteil davon hat.

Erweiterbarkeit heißt, alles kann gegen uns verwendet werden

Erinnern Sie sich an die altmodischen Telefone, die Ihre Eltern oder Groß-eltern zu Hause verwendeten? Ein solches Gerät war dafür ausgelegt, damitzu telefonieren, nicht mehr und nicht weniger. Vergleichen Sie das einmalmit dem Telefon, das Sie in der Tasche haben. Eigentlich ist es gar kein Tele-fon, sondern ein Computer, auf dem eine Telefon-App läuft. Und wie Siewissen, kann das Gerät noch sehr, sehr viel mehr. Es ist ein Telefon, eineKamera, ein Benachrichtigungssystem, ein E-Book-Reader, ein Navigations-gerät und eine Million andere Dinge. Der Spruch »There’s an app for that«ergibt für ein altmodisches Telefon keinen Sinn, für einen Computer, mitdem Sie Anrufe tätigen können, aber sehr wohl.

Nachdem Johannes Gutenberg 1440 die Druckpresse erfunden hatte,wurde die Technologie im Laufe der nachfolgenden Jahrhunderte erheblichverbessert, allerdings handelte es sich noch immer um das gleiche mecha-nische – und später elektromechanische – Gerät. Während all dieser Jahr-hunderte blieb eine Druckpresse immer eine Druckpresse. Der Druckerkonnte sich die größte Mühe geben, aber die Maschine war nicht dazu zubewegen, Berechnungen durchzuführen, Musik abzuspielen oder Fischabzuwiegen. Gleichermaßen war ein Thermostat nur ein elektromechani-sches Gerät mit einem Temperaturfühler, der auf unterschiedliche Mess-werte mit dem Öffnen oder Schließen eines Schaltkreises reagierte. DieserSchaltkreis war mit der Heizung verbunden, was es dem Thermostat ermög-


Kapitel 1

42

lichte, die Temperatur zu regeln. Und das war auch schon alles, was erkonnte. Auch eine Kamera konnte früher nur Fotos aufnehmen.

Heutzutage sind solche Geräte Computer und können somit für nahezualle Aufgaben programmiert werden. Das haben einige Hacker kürzlichdemonstriert, indem sie einen PIXMA-Drucker von Canon, das Thermo-statmodell Honeywell Prestige und eine Digitalkamera von Kodak daraufprogrammiert haben, den Ego-Shooter Doom zu spielen.

Wenn ich diese Anekdote bei technischen Konferenzen auf der Bühnezum Besten gebe, lacht das Publikum darüber, dass diese neuen IoT-Geräteein 25 Jahre altes Computerspiel steuern können – aber überrascht ist davonniemand. Schließlich handelt es sich um Computer, die selbstverständlichdarauf programmiert werden können, Doom zu spielen.

Wenn ich diese Anekdote hingegen einem technisch nicht versiertenPublikum erzähle, fallen die Reaktionen ganz anders aus. Unser mentalesModell von Maschinen besagt, dass sie nur eine einzige Aufgabe erledigenkönnen – und wenn sie kaputt sind, funktioniert auch das nicht mehr. All-zweckcomputer ähneln in dieser Hinsicht jedoch eher Menschen; sie kön-nen fast jede beliebige Aufgabe übernehmen.

Computer können erweitert werden. Und wenn alles zu einem Compu-ter wird, dann ist bald auch alles erweiterbar. Bezüglich der Sicherheit ziehtdas drei Konsequenzen nach sich:

Erstens: Es ist schwierig, erweiterbare Systeme abzusichern, weil dieDesigner nicht alle Konfigurationen, Umgebungsbedingungen, Anwendun-gen, Verwendungsmöglichkeiten usw. voraussehen können. Hier geht eseigentlich um Komplexität, ein Thema, auf das wir in Kürze noch kommenwerden.

Zweitens: Erweiterbare Systeme lassen sich nicht extern beschränken. Esist problemlos möglich, ein mechanisches Abspielgerät zu konstruieren, dasnur Magnetbänder abspielt, die sich in einem bestimmten Gehäuse befin-den, oder eine Kaffeemaschine zu bauen, die nur Einwegkaffeekapseln vonbestimmter Form verwenden kann. Doch derartige physische Beschränkun-gen sind nicht auf die digitale Welt übertragbar. Das bedeutet, dass einKopierschutz – auch bekannt unter der Bezeichnung DRM (Digital RightsManagement, digitale Rechteverwaltung) – im Grunde unmöglich ist. Wiedie Erfahrungen der Musik- und Filmbranche in den vergangenen zweiJahrzehnten gezeigt haben, kann man die Leute nicht davon abhalten, unau-torisierte Kopien digitaler Dateien anzufertigen und abzuspielen.



43

Allgemeiner formuliert kann ein Softwaresystem nicht eingeschränktwerden, weil die zur Einschränkung eingesetzte Software umfunktioniert,umgeschrieben oder überarbeitet werden kann. Ebenso wie es unmöglichist, ein Abspielgerät zu bauen, das keine raubkopierten Musikdateien wie-dergibt, ist es auch unmöglich, einen 3D-Drucker zu entwickeln, der keineBauteile für Schusswaffen druckt. Es ist natürlich relativ einfach, Otto Nor-malverbraucher davon abzuhalten, aber ein Experte lässt sich nicht aufhal-ten. Und sobald ein Experte Software geschrieben hat, um die wie auchimmer gearteten Beschränkungen zu umgehen, können alle anderen sieebenfalls nutzen. Und das geht sogar ziemlich schnell. Selbst die bestenDRM-Systeme werden in weniger als 24 Stunden geknackt. In Kapitel 11kommen wir auf dieses Thema zurück.

Drittens: Erweiterbarkeit bedeutet auch, dass jeder Computer durch Soft-ware um zusätzliche Features ergänzt werden kann. Diese können verse-hentlich Sicherheitslücken mit sich bringen, sowohl weil die neuen Featuresselbst angreifbar sind als auch weil sie im ursprünglichen Design nicht vor-gesehen waren. Entscheidend ist jedoch, dass auch Angreifer neue Featureshinzufügen können. Wenn jemand Ihren Computer hackt und Schadsoft-ware installiert, geschieht genau das. Dabei handelt es sich zwar um Featu-res, die Sie nicht haben wollen, um die Sie nicht gebeten haben und diesogar gegen Ihre Interessen gerichtet sind, aber dessen ungeachtet sind esFeatures. Und diese Features können, zumindest theoretisch, allen anderenmit dem Internet verbundenen Computern ebenfalls hinzugefügt werden.

Hintertüren (auch »Backdoors« genannt) sind ein weiteres zusätzlichesFeature eines Systems. Ich werde diesen Begriff im Buch sehr oft verwen-den, deshalb lohnt es, einen Moment innezuhalten und ihn zu definieren.Dieser schon ziemlich alte Begriff stammt aus der Kryptografie. Er kenn-zeichnet ganz allgemein einen bewusst erstellten Zugriffsmechanismus,der die normalen Sicherheitsmaßnahmen eines Computersystems umgeht.Hintertüren sind meistens geheim und werden ohne Ihr Wissen und ohneIhre Zustimmung hinzugefügt, aber das muss nicht unbedingt so sein.Wenn das FBI Apple auffordert, eine Möglichkeit bereitzustellen, die Ver-schlüsselung eines iPhones zu umgehen, verlangt die Behörde nach einerHintertür. Wenn Forscher in einer Firewall von Fortinet ein fest einpro-grammiertes zusätzliches Kennwort entdecken, dann haben sie eine Hinter-tür gefunden. Und wenn das chinesische Unternehmen Huawei in seinenInternetroutern einen geheimen Zugriffsmechanismus einrichtet, dann hates eine Hintertür installiert. Mehr zu diesem Thema in Kapitel 11.


Kapitel 1

44

Alle Computer können mit Schadsoftware infiziert werden. Alle Compu-ter können durch Ransomware (Erpressungssoftware) unter fremde Kon-trolle geraten. Alle Computer können zur Teilnahme an einem Botnet –einem Netzwerk, das aus mit Schadsoftware infizierten Rechnern bestehtund ferngesteuert wird – gezwungen werden. Die Daten aller Computerkönnen aus der Ferne vollständig gelöscht werden. Die eigentliche Funktiondes Embedded-Computers oder die Art des IoT-Geräts spielen keine Rolle.Angreifer können IoT-Geräte auf die gleiche Weise missbrauchen wie schonjetzt Desktop-PCs und Laptops.

Aufgrund ihrer Komplexität sind computerisierte Systeme einfacher anzugreifen als zu schützen

Im Internet sind die Angreifer den Verteidigern gegenüber im Vorteil.Das muss aber nicht zwangsläufig so sein. Wie die Geschichte zeigt,

waren über Zeiträume von Jahrzehnten oder Jahrhunderten mal die Angrei-fer und mal die Verteidiger im Vorteil. Die Geschichte der Kriegsführungveranschaulicht das sehr schön, denn die verschiedenen Technologien wieMaschinengewehre und Panzer kamen mal der einen, mal der anderenSeite zugute. Doch bei den heutigen Computern und im Internet ist derAngriff einfacher als die Verteidigung – und das wird vermutlich auf abseh-bare Zeit so bleiben.

Dafür gibt es viele Gründe, entscheidend ist jedoch die Komplexität die-ser Systeme. Komplexität ist der ärgste Feind der Sicherheit. Je komplexerein System ist, desto unsicherer ist es. Und die Milliarden Computer mitjeweils Millionen Codezeilen, die zum Internet zusammengeschlossensind, das Billionen Webseiten und Zettabytes an Daten enthält, stellen daskomplexeste System dar, das die Menschheit je erschaffen hat.

Die erhöhte Komplexität bedeutet mehr beteiligte Menschen, mehrBestandteile, mehr Interaktionen, mehr Abstraktionsebenen, mehr Fehlerbeim Design und beim Entwicklungsprozess, mehr Probleme beim Testenund mehr Schlupfwinkel im Code, in denen sich Sicherheitslücken verber-gen können.

Computersicherheitsforscher sprechen gern von der »Angriffsfläche«eines Systems. Damit sind alle Schwachstellen gemeint, die ein Angreiferins Visier nehmen könnte und die geschützt werden müssen. Mit einemkomplexen System geht eine große Angriffsfläche einher, und das ist ein



45

großer Vorteil für einen potenziellen Angreifer. Der Angreifer muss nureine der Sicherheitslücken aufspüren – eine Schwachstelle, die einenAngriff ermöglicht – und dann den Zeitpunkt und die Angriffsmethode aus-wählen. Diese Angriffe kann er fortsetzen, bis er damit Erfolg hat. Der Ver-teidiger hingegen muss ständig die gesamte Angriffsfläche gegen alle mög-lichen Angriffe abschotten. Er muss jedes Mal die Oberhand behalten,während der Angreifer nur ein einziges Mal Glück haben muss. Es handeltsich schlicht und einfach um einen ungleichen Kampf. Der Aufwand, einSystem anzugreifen, beträgt nur einen Bruchteil des Aufwands, der erfor-derlich ist, um es zu verteidigen.

Komplexität ist einer der wesentlichen Gründe, weshalb Computersi-cherheit immer noch ein Problem darstellt, obwohl die Sicherheitstechno-logien ständig verbessert werden. Jedes Jahr werden neue Ideen entwickelt,neue Forschungsergebnisse vorgelegt sowie neue Produkte und Dienstevorgestellt. Gleichzeitig nimmt jedoch auch die Komplexität jedes Jahr zu,was zu neuen Sicherheitslücken und Angriffsmöglichkeiten führt. Wir gera-ten ins Hintertreffen, obwohl wir uns verbessern.

Die Komplexität bewirkt auch, dass die Anwender die Sicherheit oft nichtrichtig handhaben. Komplexe Systeme bieten in der Regel sehr vielfältigeMöglichkeiten, was es erschwert, sie auf sichere Weise zu verwenden. DieAnwender vergessen häufig, Standardkennwörter zu ändern, oder sie kon-figurieren die Zugriffsrechte für die in der Cloud befindlichen Daten falsch.2017 gab die Stanford University »fehlkonfigurierte Zugriffsrechte« alsGrund dafür an, dass die Daten von Tausenden von Studenten und Mitar-beitern öffentlich zugänglich waren. Vorfälle dieser Art treten ständig auf.

Neben der Komplexität gibt es weitere Gründe dafür, dass ein Angriffeinfacher ist als die Verteidigung. Angreifer haben den Vorteil, als Erste amZug zu sein. Hinzu kommt, dass sie naturgemäß über eine hohe Beweglich-keit verfügen, die den Verteidigern oft fehlt. Für gewöhnlich pfeifen sie aufgesetzliche Vorschriften oder moralische bzw. ethische Grundsätze undkönnen technische Neuerungen schneller einsetzen. In Sachen proaktiverSicherheit sieht es hingegen düster aus, da es an Anreizen fehlt, Verbesse-rungen vorzunehmen. Wir treffen nur selten Sicherheitsvorkehrungen,bevor ein Angriff stattfindet. Zudem winkt den Angreifern bei Erfolg einGewinn, während die Verteidigung typischerweise lediglich einen Kosten-faktor darstellt, den die Unternehmen zu minimieren versuchen – und viele


Kapitel 1

46

Führungskräfte glauben noch immer nicht, dass ihr Unternehmen ein Zieldarstellt. Die Vorteile des Angreifers überwiegen also deutlich.

Das heißt aber nicht, dass es sinnlos ist, sich zu schützen, sondern nur,dass es schwierig und kostspielig ist. Wenn der Angreifer ein kriminellerEinzeltäter ist, fällt es natürlich leichter, ihn dazu zu bringen, sich ein ein-facheres Angriffsziel zu suchen. Aber ein entsprechend ausgebildeter,finanziell unterstützter und motivierter Angreifer wird früher oder späterimmer Erfolg haben. Chris Inglis, der ehemalige stellvertretende Direktorder NSA, äußerte sich zum Thema nationalstaatliche Cyberoperationen fol-gendermaßen: »Wenn es bei Cyberangriffen einen Spielstand wie beimFußball gäbe, würde es 20 Minuten nach dem Anpfiff 462:456 für dieAngreifer stehen.« Das kommt ungefähr hin.

Aber dass eine Angriffsmethode technisch unkompliziert ist, bedeutetnicht, dass sie weit verbreitet ist. Jemanden zu ermorden, ist auch nicht be-sonders schwierig, dennoch gibt es nur wenige Mörder, weil alle Gesell-schaftsformen Mörder ausfindig machen, verurteilen und strafrechtlich ver-folgen. Im Internet ist eine strafrechtliche Verfolgung allerdings nicht soeinfach, weil es schwierig ist, Angreifer zu identifizieren – ein Thema, mitdem wir uns in Kapitel 3 befassen werden – und weil grenzüberschreitendeInternetangriffe komplizierte Probleme hinsichtlich der gerichtlichen Zu-ständigkeiten mit sich bringen.

Das Internet+ wird diese Entwicklung noch verschärfen. Mehr Compu-ter, insbesondere mehrere verschiedene Arten von Computern, bedeutenmehr Komplexität.

Interkonnektivität schafft neue Sicherheitslücken

Das Internet bringt immer wieder neuartige Eigenschaften hervor, diemanchmal zu ungewollten Folgeerscheinungen führen. Tatsächlich verste-hen selbst wir Experten das Zusammenwirken der verschiedenen Teile desInternets nicht so genau, wie wir vielleicht denken, und sind immer wiederüberrascht, wenn wir erfahren, wie manche Dinge funktionieren. Das trifftauch auf Sicherheitslücken zu.

Durch die zunehmende Vernetzung haben immer mehr Sicherheitslü-cken in einem System Auswirkungen auf andere Systeme. Hier sind dreiBeispiele:



47

� 2013 hackten sich Kriminelle in das Netzwerk der Target Corporationund stahlen die Daten von 70 Millionen Kunden und 40 Millionen Kre-ditkartendaten. Die Kriminellen erlangten Zugang zu Targets Netzwerk,weil sie zunächst die Anmeldedaten von einem Heizungs- und Klima-anlagenlieferanten des Unternehmens erbeuten konnten.

� 2016 schlossen Hacker Millionen IoT-Geräte – Router, digitale Videore-korder, Webcams usw. – zu einem gewaltigen Botnet namens Miraizusammen. Dieses Botnet benutzten sie, um einen DDoS-Angriff (Dis-tributed Denial of Service, verbreitete Verweigerung des Dienstes) aufden Domain-Provider Dyn zu starten. Dyn stellt für viele bedeutendeSites im Internet betriebsnotwendige Funktionen bereit. Als Dyn nichtmehr erreichbar war, gingen Dutzende beliebter Websites wie Reddit,BBC, Yelp, PayPal und Etsy ebenfalls offline.

� 2017 drangen Hacker über ein mit dem Internet verbundenes Aqua-rium in das Netzwerk eines Casinos (dessen Name nicht genanntwurde) ein und stahlen Daten.

Systeme können andere Systeme auf unvorhersehbare, potenziell gefährli-che Weise beeinflussen. Was dem Designer eines bestimmten Systems völ-lig harmlos erscheint, kann zu einer Gefahr werden, wenn es mit einemanderen System verbunden wird. Schwachstellen des einen Systems könnensich auf andere Systeme ausbreiten, und das hat Sicherheitslücken zurFolge, mit denen niemand gerechnet hat. Dadurch waren auch Katastrophenwie der Reaktorunfall im Kernkraftwerk Three Mile Island, die Explosion desSpaceshuttles Challenger oder der Stromausfall im Jahr 2003 in den USAund Kanada möglich.

Unbeabsichtigte Effekte wie diese rücken zwei Aspekte in den Blick:Zum einen ist es durch die Interkonnektivität schwierig, herauszufinden, inwelchem System der Fehler liegt. Zum anderen ist es durchaus möglich,dass nicht eines der Systeme allein für den Fehler verantwortlich ist. DieUrsache könnte ein unsicheres Zusammenwirken zweier Systeme sein, diefür sich genommen sicher sind. 2012 kompromittierte ein Unbekannter denAmazon-Account des Journalisten Mat Honan. Dadurch konnte er auf Ho-nans Apple-Account zugreifen, was ihm auch Zugriff auf dessen Gmail-Account verschaffte, was ihm wiederum die Übernahme seines Twitter-Accounts ermöglichte. Der genaue Ablauf des Angriffs ist hier von Bedeu-tung, denn einige der Sicherheitslücken waren nicht Teil der einzelnen Sys-


Kapitel 1

48

teme, sondern ließen sich nur in Verbindung mit den anderen Systemenausnutzen.

Es gibt weitere Beispiele. Eine Sicherheitslücke in einem smarten Kühl-schrank von Samsung setzte die User von Gmail-Accounts der Gefahr einesAngriffs aus. Das Gyroskop in einem iPhone, das dazu dient, Bewegungenund die Orientierung im Raum zu messen, ist so empfindlich, dass es akus-tische Schwingungen erfassen und so Gespräche belauschen kann. DieAntivirus-Software von Kaspersky hat versehentlich (oder absichtlich)geheime Informationen der US-Regierung an den Hersteller übermittelt.

Wenn 100 Systeme miteinander interagieren, entspricht das rund 5.000Interaktionen und 5.000 potenziellen Sicherheitslücken, die sich durchdiese Interaktionen ergeben. Bei 300 Systemen sind es schon etwa 45.000und bei 1.000 Systemen circa eine halbe Millionen Interaktionen. Die meis-ten davon sind harmlos oder nicht beachtenswert, aber einige werdenäußerst verheerende Folgen haben.

Computer sind auf besondere Weise gefährdet

Computer sind nicht auf die gleiche Weise wie »normale« Geräte von Sicher-heitsrisiken betroffen. Sie sind auf dreierlei Weise gefährdet.

Erstens: Entfernung spielt keine Rolle. Im wahren Leben machen wiruns Sorgen, dass wir einem mittelmäßigen Angreifer zum Opfer fallen. Wirkaufen kein Türschloss, um uns vor dem besten Einbrecher der Welt zuschützen, sondern um die durchschnittlichen Einbrecher, die sich vermut-lich in der Nachbarschaft herumtreiben, fernzuhalten. Mein Haus befindetsich in Cambridge, und wenn es in Canberra eine supertalentierte Einbre-cherin gibt, ist mir das egal. Sie wird wohl kaum um die halbe Welt fliegen,um mein Haus auszuplündern. Im Internet jedoch kann eine Hackerin inCanberra mein Heimnetzwerk genauso leicht hacken wie ein Netzwerk imNachbarhaus.

Zweitens: Die Möglichkeit, Computer anzugreifen, ist entkoppelt vonden technischen Fähigkeiten, die dafür nötig sind. Denn Software kanntechnische Fähigkeiten miteinschließen. So kann beispielsweise die super-talentierte Hackerin in Canberra ihre Expertise in Software einbetten. Siekann den Angriff automatisieren und ihn ausführen lassen, während sieschläft. Anschließend kann sie die Software an beliebige Personen rundum den Globus weitergeben. Auf diese Weise entstand der Begriff »Script-



49

kiddie«: Dabei handelt es sich um eine Person mit minimalen Fachkennt-nissen, die aber über leistungsstarke Software verfügt. Wenn der besteEinbrecher der Welt ungehindert ein Tool verbreiten könnte, das es mittel-mäßigen Einbrechern ermöglicht, in Ihr Haus einzusteigen, würden Siesich wohl mehr Gedanken über Einbruchschutz machen.

Die freie Verbreitung potenziell gefährlicher Hackertools ist im Internetgang und gäbe. Die Angreifer, die das Mirai-Botnet eingerichtet haben, ver-öffentlichten ihren Code, und innerhalb weniger Wochen war er in einemDutzend Angreifertools integriert. Hierbei handelt es sich um ein Beispielfür das, was wir als »Schadsoftware« oder »Malware« bezeichnen: Würmer,Viren und Rootkits, die auch unbegabten Angreifern enorme Möglichkeitenbieten. Hacker können auf dem Schwarzmarkt Rootkits erwerben oder Ran-somware als Dienstleistung (»Ransomware as a Service«) einkaufen. Euro-päische Unternehmen wie HackingTeam oder Gamma Group verkaufenAngreifertools an die Regierungen kleinerer Länder rund um den Globus.Der Inlandsgeheimdienst der Russischen Föderation FSB ließ einen 21-jäh-rigen kasachisch-kanadischen Bürger namens Karim Baratov einen Phish-ing-Angriff ausführen, der 2016 zum erfolgreichen Hack der nationalenOrganisation der Demokratischen Partei der USA (Democratic NationalCommittee, DNC) führte. Erstellt wurde die Schadsoftware von dem talen-tierten Hacker Alexsey Belan.

Drittens: Alle Computer sind gleichzeitig betroffen – oder eben gar kei-ner. Der sogenannte »Class Break« ist ein Konzept aus der Computersicher-heit. Dabei wird eine spezielle Art von Sicherheitslücke ausgenutzt, die nichtnur ein System kompromittiert, sondern eine ganze Reihe von gleichen Sys-temen. Denken Sie beispielsweise an eine Sicherheitslücke in einemBetriebssystem, die es einem Angreifer ermöglicht, aus der Ferne die Kont-rolle über alle Systeme zu übernehmen, auf denen dieses Betriebssystemläuft, oder an eine Sicherheitslücke bei mit dem Internet verbundenen digi-talen Videorekordern und Webcams, die es dem Angreifer erlaubt, dieseGeräte in ein Botnet einzubinden.

Der elektronische Personalausweis in Estland fiel 2017 solch einemClass Break zum Opfer. Aufgrund einer kryptografischen Schwachstelle wardie estnische Regierung gezwungen, die Gültigkeit von 760.000 Personal-ausweisen zeitweise außer Kraft zu setzen, die für alle möglichen staatlichenDienstleistungen eingesetzt wurden, von denen einige Hochsicherheitsbe-reiche betrafen.


Kapitel 1

50

Die Risiken werden durch die Software- und Hardware-Monokultur wei-ter verschärft. Wir verwenden fast ausnahmslos eins der drei »großen«Computerbetriebssysteme oder eins der beiden gängigsten Betriebssystemefür Smartphones bzw. Tablets. Mehr als die Hälfte von uns verwendet denWebbrowser Chrome, die übrigen einen der fünf anderen. Zur Textverarbei-tung und für Tabellenkalkulationen verwenden die meisten von uns Micro-soft Word bzw. Excel. Und praktisch jeder liest PDFs, betrachtet JPEGs, hörtMP3-Dateien und sieht sich AVI-Videos an. Fast alle Geräte rund um denGlobus kommunizieren über das Internetprotokoll TCP/IP. Standards wiediese sind aber nicht die einzige Ursache für Monokulturen. Laut einer Stu-die des US-Ministeriums für Innere Sicherheit aus dem Jahr 2011 ist GPSfür elf von 15 kritischen Infrastrukturbereichen unverzichtbar. Ein ClassBreak des GPS und zahlreicher anderer Funktionen und Protokolle würdeMillionen Geräte und Anwender betreffen. Noch ist das Internet of Thingsvielfältiger, das wird jedoch nicht so bleiben, wenn nicht ein paar ziemlichgrundlegende wirtschaftliche Richtlinien geändert werden. Zukünftig wirdes nur einige wenige IoT-Prozessoren, Betriebssysteme, Controller undKommunikationsprotokolle geben.

Ein Class Break mündet in Würmern, Viren und anderer Schadsoftware.Das Motto lautet: »Nur einmal angreifen, aber viele treffen.« Bislang habenwir uns Wahlbetrug so vorgestellt, dass unberechtigte Personen versuchenzu wählen, und nicht als Manipulation von Onlinewahllisten oder mit demInternet verbundenen Wahlmaschinen durch eine einzelne Person oderOrganisation. Aber genau das gefährdet Computersysteme: Jemand hacktdie Maschinen.

Stellen Sie sich einen Taschendieb vor, der seine Fähigkeiten lange trai-niert hat. Jedes Opfer ist eine neue Herausforderung und ein erfolgreicherDiebstahl garantiert nicht, dass der nächste Versuch ebenfalls erfolgreichsein wird. Vergleichen Sie das mit elektronischen Türschlössern, wie mansie in vielen Hotelzimmern findet. Sie weisen verschiedene Schwachstellenauf. Ein Hacker könnte einen Fehler im Design entdecken, der es ihmermöglicht, eine Schlüsselkarte zu erstellen, mit der sich jede Tür öffnenlässt. Wenn er seine Software veröffentlicht, kann nicht nur der Hackerselbst, sondern jede beliebige Person sämtliche Schlösser öffnen. Und wenndiese Schlösser mit dem Internet verbunden sind, könnten Angreifer dieTürschlösser auch aus der Ferne öffnen – sogar alle gleichzeitig. Hierbeihandelt es sich um einen Class Break.



51

2012 ist genau das Onity widerfahren, einem Unternehmen, das elektro-nische Schlösser herstellt, die in mehr als vier Millionen Zimmertüren vonHotelketten wie Marriott, Hilton oder InterContinental verbaut sind. Einselbst gebautes Gerät ermöglichte es Hackern, die Schlösser in wenigenSekunden zu öffnen. Irgendjemand hatte sich das ausgedacht, und die Bau-anleitung für das Gerät verbreitete sich in Windeseile. Es dauerte Monate,bis Onity bemerkte, dass sie gehackt worden waren. Und weil es keine Mög-lichkeit gab, das System zu patchen (mehr dazu in Kapitel 2), waren dieHotelzimmer monate- oder sogar jahrelang gefährdet.

Für das Risikomanagement ist Class Break ein alter Hut. Die Problema-tik ist vergleichbar mit dem Unterschied zwischen Einbrüchen und Brändeneinerseits, von denen einzelne Häuser in einer bestimmten Gegend imLaufe eines Jahres gelegentlich betroffen sind, und Überschwemmungenund Erdbeben andererseits, die entweder alle oder niemanden in einembestimmten Gebiet treffen. Für Computer gilt nicht nur beides gleichzeitig,sie sind auch von Aspekten des Risikomodells für das Gesundheitswesenbetroffen.

Die Art und Weise, wie Computer gefährdet sind, hat Auswirkungen aufdas Wesen der Sicherheitsprobleme und stellt die Methoden, mit denen wiruns dagegen wehren müssen, völlig auf den Kopf. Die von einem durch-schnittlichen Angreifer ausgehende Bedrohung bereitet uns kein Kopfzer-brechen. Sorgen machen müssen wir uns um extremistische Einzeltäter, diealle mit in den Abgrund reißen können.

Die Angriffe werden immer besser, schneller und einfacher

Der Verschlüsselungsalgorithmus DES (Data Encryption Standard) stammtaus den 1970er-Jahren. Im Hinblick auf die Sicherheit war DES bewusst soausgelegt, dass es den damals machbaren Angriffen gerade so standhielt.1976 schätzen Kryptografieexperten, dass es 20 Millionen Dollar kostenwürde, einen Computer zu bauen, der DES knacken könnte. In meinem 1995erschienenen Buch Applied Cryptography (dt. Titel Angewandte Kryptographie)habe ich geschätzt, dass die Kosten auf eine Million Dollar gesunken sind.1998 hat die Electronic Frontier Foundation (EFF) für 250.000 Dollar einenRechner gebaut, der die DES-Verschlüsselung in weniger als einem Tag kna-cken konnte. Heutzutage können Sie das mit Ihrem Laptop erledigen.


Kapitel 1

52

In den 1990er-Jahren waren Mobiltelefone dafür ausgelegt, sich ohneirgendeine Authentifizierung automatisch mit Mobilfunkzellen zu verbin-den, denn die Authentifizierung war damals schwierig und es war kaummöglich, eine gefälschte Funkzelle zu betreiben. Ein halbes Jahrzehnt spätersetzte das FBI ein geheimes System namens Stingray ein, um zu Überwa-chungszwecken Funkzellen zu simulieren. Ein weiteres halbes Jahrzehntspäter war es so einfach geworden, Funkzellen nachzubilden, dass Hackeres bei ihren Konferenzen auf der Bühne vorführten.

Auch die zunehmende Geschwindigkeit von Computern hat dazu beige-tragen, dass sie beim Knacken von Kennwörtern durch Brute-Force-Atta-cken (dem Ausprobieren aller möglichen Kennwörter) exponentiell schnel-ler geworden sind. Unterdessen hat sich die Länge und Komplexität derKennwörter, die ein durchschnittlicher Anwender benutzt und sich merkenkann, nicht verändert. Deshalb sind Kennwörter, die vor zehn Jahren nochsicher waren, heutzutage unsicher.

Den folgenden Aphorismus habe ich erstmals von einem NSA-Mitarbei-ter gehört: »Angriffe werden immer besser; niemals schlechter.« Angriffewerden schneller, preiswerter und einfacher. Was heute nur theoretischmöglich ist, wird schon morgen in die Tat umgesetzt. Und weil unsere Infor-mationssysteme viel länger als ursprünglich geplant im Einsatz bleiben,müssen wir schon jetzt auch an die Angreifer denken, die die Technologiender Zukunft verwenden.

Die Angreifer lernen ebenfalls dazu und passen sich an. Das unterschei-det die Computersicherheit von den Maßnahmen, mit denen man sich zumBeispiel vor einem Tornado schützt. Tornados stellen eine Bedrohung dar.Wir könnten nun verschiedene Vorsichtsmaßnahmen und deren Wirksam-keit erörtern und uns fragen, ob zukünftige technische Fortschritte uns hel-fen können, uns besser vor der zerstörerischen Kraft dieser Wirbelstürmezu schützen. Aber was auch immer wir unternehmen oder unterlassen, wirwissen genau, dass Tornados sich nicht an unsere Schutzmaßnahmenanpassen und ihr Verhalten ändern werden. Es sind schließlich nur Tor-nados.

Menschliche Gegenspieler sind da anders. Sie sind einfallsreich undintelligent. Sie ändern ihre Taktik, erfinden Neues und passen sich kontinu-ierlich an. Angreifer inspizieren unsere Systeme und suchen nach mögli-chen Class Breaks. Und sobald jemand eine solche Sicherheitslücke findet,wird sie so lange immer wieder ausgenutzt, bis sie geschlossen wird. Eine



53

Sicherheitsmaßnahme, die Netzwerke heute noch schützt, könnte schonmorgen nicht mehr funktionieren, weil die Angreifer herausgefundenhaben, wie sie sich umgehen lässt.

All das hat zur Folge, dass der Wert von Expertenwissen schnell verfällt.Was gestern noch eine streng geheime Fähigkeit des Militärs war, ist heutedas Thema einer Doktorarbeit und wird morgen zu den Hackertools gehö-ren. Ein Beispiel dafür ist die differenzielle Kryptoanalyse, die irgendwannvor 1970 von der NSA entdeckt wurde. In den 1970er-Jahren entdecktenMathematiker bei IBM sie bei der Entwicklung von DES ebenfalls. Die NSAstufte IBMs Entdeckung als geheim ein, aber das Verfahren wurde Ende der1980er-Jahre ein weiteres Mal von Kryptografen wiederentdeckt.

Die Verteidiger müssen ständig in Bewegung bleiben. Was gestern nochfunktionierte, ist vielleicht schon heute unbrauchbar und wird morgen fastmit Sicherheit nutzlos sein.


377

Stichwortverzeichnis11. September 12923andMe 194

AAbbott Labs 59, 89Abgasskandal 164Abhörgerät 138Abhörgesetz 169Access Now 269ACLU (American Civil Liberties Union)

278ACM (Association for Computing

Machinery) 180Activision 64Adblocker 32Adobe 64Adversarial Machine Learning 116Agent 115Agile Softwareentwicklung 65Albright, Madeleine 25Alexander, Keith 152Algorithmus

autonomer 114Geschwindigkeit 116Machine-Learning- 114Nachvollziehbarkeit 145sich selbst programmierender 114Transparenz 144

Alibaba 216Alphonso 83Amazon 87Amnesia (Botnet) 58Anderson, Ross 235Angriffsfläche 44Anonyme E-Mail-Adresse 252Anonymisierung 142Anonymität 251Anreiz für Sicherheit 161Apache 138Apple 61, 85, 221Arthur Andersen 163Associated Press 117AT&T 92Attribution 76, 79Aufklärung 178

Ausfuhrkontrolle 249Auslandsspionage 93Auslieferung von Schadsoftware 248Authentifizierung 141Authentifizierungsdienst 71Authentifizierungssystem 252Auto-Hacks 89Autonome Waffe 118Autonomie 114Azimuth 208

BBabyfon 172Backdoor Siehe HintertürBaker, Stewart 257Baku-Tiflis-Ceyhan-Ölpipeline 149Balkanisierung des Internets 201Baratov, Karim 49Beckstrom, Rod 35Belan, Alexsey 49Bewegungsprofil 253Bewertungssystem 174BGP Siehe Border Gateway ProtocolBiodrucker 13Biometrisches Merkmal 70Biotronik 89Bismarck, Otto von 274Blackberry 246Blackbox-Daten 90Blade Runner 272Blaster 128Bluetooth-Authentifizierung 75BND (Bundesnachrichtendienst) 220Bohm, Nick 275Border Gateway Protocol 39Boston Scientific 89Bostrom, Nick 119Botnet 105BP 160Brasilien 246Brooks, Rodney 119BSI (Bundesamt für Sicherheit in der

Informationstechnik) 220Buckshot Yankee 93


Stichwortverzeichnis

378

Budapester Übereinkommen gegen Cyberkriminalität 200

Buffer-Overflow 37Bug-Bounty 57Bullrun-Programm 214Bußgeld 162Bußgeld der EU 235

CCaaS (Crimeware as a servcie) 105CALEA (Communications Assistance

for Law Enforcement Act) 214Calo, Ryan 191Cameron, David 249Campos, Hugo 89CAN-SPAM Act 197Caproni, Valerie 244Capture the Flag 117Carbon Black 103CCleaner 121CE-Kennzeichnung 235Cellebrite 221CEO Fraud 104Challenger 47Check Point 120Cheney, Dick 127Chertoff, Michael 251Child Online Protection Act 197, 243China 80, 95Chysler 59Cisco 121, 217Citizen Lab 91Clapper, James 94, 112Clark, David 40Code for America 278Cohen, Julie 197Comey, James 245Commodore 62Consumers Union 175Copyright Office 198Core Infrastructure Initiative 148CrashOverride 11Cyber Shield Act 174Cyber Threat Alliance 225Cyberabwehreinheit 227Cyberangriff 123Cyberbit 92Cyberfrieden 268

Cyberkrieg 95, 100Cyberkriminalität 104Cyberstalking 106Cyberwaffe 101

DDaniel, Michael 210DARPA (Defense Advanced Research

Projects Agency) 117Datenhändler 229Datenintegrität 112Datenschutz-Grundverordnung 165Datensparsamkeit 142DDoS-Angriff 105Deanonymisierung 190Deep Patient 114Deepwater Horizon 160DefCon 39, 117DES (Data Encryption Standard) 51Designprinzipien 140Diebstahl geistigen Eigentums 104Differenzierte Authentifizierung 71Differenzielle Kryptoanalyse 53D-Link 121, 168DMCA (Digital Millennium Copyright

Act 64, 88DNSChanger 59DNSSEC 41Doctorow, Cory 208Dodd-Frank Act 162Domain Name Service 39Doom 42DRM (Digital Rights Management) 42Drohne 111, 124DSGVO (Datenschutz-Grundverord-

nung) 234Durchsetzung von Standards 156Durchsuchungsbefehl 245Dyn 47

EEin-Prozent-Doktrin 127Electronic Communications Privacy Act

195Electronic Frontier Foundation 175Ende-zu-Ende-Prinzip 154Ende-zu-Ende-Verschlüsselung 213,

217



379

Enron 164Entmilitarisierung des Internets 267EPA (Environmental Protection Agency)

232Equifax 58, 110, 138, 160, 162, 165,

167Ermittlungsmethoden 221Estland 49, 227EternalBlue 210EU-Binnenmarkt 234Europäische Kommission 190Evans, John 248ex ante 155ex post 155Experian 237Externer Effekt 161

FFAA (Federal Aviation Administration)

187Facebook 81, 86, 235Falschinformationen verbreiten 113Fancy Bear 69Farook, Syed Rizwan 221FCC (Federal Communications Com-

mission) 188FDA (Food and Drug Administration

176FedRAMP (Federal Risk and Authoriza-

tion Management Program) 159Felten, Ed 277Fernsteuerbare Systeme 91Finanzkrise 162FinFisher 91FireEye 65Flash Crash 117Forschung 182Fortinet 43Freeh, Louis 244FTC (Federal Trade Commission) 168Funkfrequenzen 258Funkzelle 52

GGamma Group 49, 92Gates, Bill 119GCHQ (Government Communications

Headquarters) 220

Geer, Dan 208, 271Gefährdungshaftung 169Gefangenendilemma 160Gegenangriff 256George, Richard 217Gerassimow-Doktrin 99GGE (Group of Governmental Experts)

202Goldsmith, Jack 208Google 81, 235Google Play 121GPS 150Greer, John 163Große Firewall 95

HHacking Back 256HackingTeam 49, 68, 92Haftungsausschluss 167Haftungsbefreiung 166Haftungsrisiko 170Hancock Health 103Harris Corporation 214Hassrede 251Hathaway, Melissa 147Hawking, Stephen 119Hayden, Michael 217Healey, Jason 202, 211Heartbleed 38, 147Hello Barbie 138Herzschrittmacher 89Hewlett-Packard 64Hilton Hotels 235Hintertür 43, 121, 219, 244, 246Hochfrequenzhandel 117Honan, Mat 47Hongkong 236Huawei 43, 120

IIdentifizierung 75Identifizierungssystem 252Identität verbergen 67Identitätsdiebstahl 68, 75, 104IEEE (Institute of Electrical and Electro-

nics Engineers) 180IETF (Internet Engineering Task Force)

40



380

Ilves, Toomas Hendrik 275IMSI (International Mobile Subscriber

Identity ) 215IMSI-Catcher 214Indien 237Informationsasymmetrie 172Infrastrukturverfall 183Inglis, Chris 46Inmarsat 62Insulinnpumpe 90Internet Engineering Task Force 213Internet of Things 16Internet of Things Cybersecurity Impro-

vement Act 229Internet+ 19Internetinfrastruktur 183Internet-Terrorismus 126IPSec 213IP-Überwachungssystem 216Irakkrieg 97Iran 95ISO (International Organization for

Standardization 180Israel 237ISS World 93

JJohn Deere (Traktorhersteller) 85, 88Joyce, Rob 67, 78, 210Juniper 121

KKalifornien 237Kalter Krieg 129Kaplan, Fred 102Kaspersky 48Kaspersky Lab 103, 120Katar 112Kello, Lucas 100Kennzeichnungspflicht 173Kernkraft 154Keurig (Kaffeemaschinenhersteller) 88Kfz-Kennzeichen-Scanner 253Killervirus 13Klarnamenpflicht 75Klickbetrug 33Komplexität 44, 111Komplexitätstheorie 265

Kontrollausübung 85Kreditkartenbetrug 33, 132Kriminalitätsrate 125Kritische Infrastruktur 150Kryptoanalyse

differenzielle 53Kryptografie 251Künstliche Intelligenz 119, 273

LLabMD 168Landau, Susan 223, 277Ledgett, Rick 209, 213Lenovo 237Lieferkette 119Lineares System 265Lizenzmodell 85Lloyd’s of London 123Lobbyarbeit 197Logiksteuerung 96Lösegeldforderung 103Lynn, William 251

MMachine Learning 113, 273Man-in-the-Middle-Angriff 216Marktmacht 87Massachusetts 237Massenüberwachung 253Mattel 138May, Theresa 250Mærsk 99, 128McConell, Mike 251McVeigh, Timothy 255Medtronic 89Meltdown 38, 60Metadaten 222Microsoft 61Mirai 47, 107, 168Missouri 237MIT(Massachusetts Institute of Techno-

logy) 278Mobilfunkzelle 52Monokultur 50Montagsauto 172Moonlight Maze 93Mord 111Movie-Plot Threats 130



381

Münchner Sicherheitskonferenz 99Musk, Elon 119My Friend Cayla 137

NNader, Ralph 232Natanz 96NCO (National Cyber Office 188Netflix 190Network Time Protocol 39Netzneutralität 87, 147, 154Netzwerkeffekt 86Neuorganisation der NSA 220New America Foundation 278New York 237NIST (National Institute of Standards

and Technology) 159NOBUS 209Nordkorea 80, 98Normen 156, 201NotPetya 99, 107, 121, 128NSA 94NSF (National Science Foundation) 189NSO Group 91–92Nutzungsbedingungen 166Nye, Joseph 201

OOchoa III, Higinio O. 77ODNI (Office of the Director of National

Intelligence) 188Öffentliche Aufklärung 178Öffentlich-private Partnerschaft 226Offline-Funktionalität 141Oltsik, Jon 181Onity 51, 168Open Web 278OpenSSL 148Ortungsdienst 83

PPanetta, Leon 78, 122Patchen 140Patientendaten 193PATRIOT Act 243Payload 212Perrow, Charles 111, 265Personalausweis 49

personenbezogene Daten 142Philips 87Phishing 69Podesta, John 69Privatsphäre 246Produktkennzeichnung 155Programmierfehler 37Project Zero 57PSI (Proliferation Security Initiative)

202Psychologie 161, 230Public Interest Law 279

QQualitätskontrolle 37

RRansomware 103Regulatory Capture 198Regulierung 158, 194Resilienz 265Risikobereitschaft 161Roboter 118Roff, Heather 268Rogers, Mike 112, 118Romano, Raquel 277Rosenstein, Rod 245Russland 95

SSamsung 48, 173Sarbanes-Oxley Act 165Saudi Aramco 150Sawers, John 102SCADA (Supervisory Control and Data

Acquisition) 111Schadensersatz 169Scherer, Matthew 191Schlichtungsverfahren 167Schlüsselhinterlegung 246Scriptkiddie 49SEC (Securities and Exchange Commis-

sion) 190Security by Design 138Selbstjustiz 257Shackelford, Scott 268Sicherheit von Kennwörtern 70Sicherheitsbewertung 175



382

Sicherheitsdilemma 102Sicherheitslücke

Behebung 207Heartbleed 38Meltdown 38Offenlegung 207Spectre 38, 60ungepatchte 212Veröffentlichung 57

Sicherheitslücke,Meltdown 60

Sicherheitssiegel 174Sicherheitswettrüsten 22Siemens 96Signal 246Silk Road 77Singapur 236–237Single Point of Failure 72Sklyarov, Dmitry 64SmartThings 166Smith, Brad 203Snow, C. P. 275Snowden, Edward 39, 121, 136, 152Softwarequalität 36Soghoian, Chris 277Soltani, Ashkan 191, 277Sony Pictures Entertainment 79Sozialkredit-System 95Spafford, Gene 35Spam 33, 131Spectre 38, 60Spielzeug 137Spyware 91Staatliche Regulierung 192Standardeinstellungen 140, 249Standardkennwörter 141Standardprotokoll 141Standards entwickeln 157Star Tek 276Stingray 52, 214Strafverfolgung 221Stuxnet 74, 96, 101Südkorea 236Suskind, Ron 127Sutton, Willie 103Sweeney, Latanya 277Symantec 103Syrien 96

Systeme trennen 152

TTalkTalk 165Target Corporation 47Tesla 60Tests medizinischer Geräte 176Thomlinson, Matt 202Three Mile Island 47Titan Rain 93Tor 253Toyota 84Toyota Prius 89Transparenz 140, 174Turnbull, Malcolm 276Türschloss 50

UUber 162Überwachungskapitalismus 82, 263Ulbricht, Ross 77Underwriters Laboratories 175US Steel 226

VVASTech 92VEP (vulnerabilties equities process )

210Vereinigte Arabische Emirate 112Vereinte Nationen 237Verizon 92Verpflichtung zur Offenlegung 176Verschlüsselung 141, 217Versicherung 170Versicherungsmodelle 171Vertrauen 22, 261Vertraulichkeit 109Volkswagen 65, 164Vorbereitender Angriff 97Vorsorgeprinzip 198

WWahlmaschine 50WannaCry 58, 99Wasserfall-Modell 65Welt-Anti-Doping-Agentur 112Westinghouse Electric 226



383

Wettrüsten 267WhatsApp 246Wheeler, Tom 25Wildavsky, Aaron 265Wurm 69Wyndham-Hotels 194

YYahoo 160, 162

ZZahlungsdiensterichtlinie 132Zensur 39, 86Zero-Day-Lücke 63, 207Zerodium 208ZTE 120Zuboff, Shoshana 82Zwei-Faktor-Authentifizierung 70


Documents

Click Here to Kill Everybody · ten der Ukraine zum Ziel hatte. Dort kam es zwar ebenfalls zu einem Strom-ausfall, der Angriff war aber eher manueller Natur. Die Angreifer, vermut-lich